数字crawlergo动态爬虫结合长亭XRAY被动扫描

群里师傅分享了个挖洞的视频，搜了一下，大概就是基于这篇文章录的

https://xz.aliyun.com/t/7047

(小声哔哔一下，不得不说，阿里云先知社区和360酒仙桥六号部队公众号这两个地方发布的文章，质量真的很高，干货很多)

以前看过一篇 burpsuite 和 xray 联动一起挖漏洞，大概原理就是 网页请求数据包先发给一层代理 burpsuite ，然后 burpsuite 再把数据包发给 二层代理 xray ,xray最后在把包放出去，这样就实现了 一部分自动化的扫描。

crwalergo和xray这篇文章原理和burpsuite和xray的原理差不多，

crawlergo是个爬虫工具，它能模拟开启 chrom ( 等你开启crawlergo之后，你打开任务管理器，会看到进程中开启了一堆十几个chrom )，通过分析网页中的源码(我认为应该是正则匹配网页源码中的链接)，发送请求，得到网页中的链接地址，这时候如果提前打开xray的话，xray中就能自动检测请求的页面，扫扫有没有漏洞，然后把结果保存到本地。crawlergo 也可以把爬取到的链接存到本地中，这时候你在把爬出来的链接，再次放到crawlergo 爬，反反复复，在配合上xray 基本上就能刷到漏洞。

 在使用xray的时候可能会扫到https类网站，这时候你需要运行下xray，就会生成个证书，把证书导入到本地就行了，使用CMD命令certmgr.msc

 昨天看了一篇大佬的文章，也讲明了 crawlergo 和 xray 联动的缺点

文章如下，我认为说的也挺在理

https://blog.csdn.net/wy_97/article/details/105656097?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-4.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-4.nonecase