远赴人间今鸿雁。 从世界繁荣的语言来看，xray是一个强大的扫描工具。 xray社区版是长亭科技推出的免费白帽子工具平台，由经验丰富的安全开发者和数万名社区贡献者共同打造。 的功能独特的安全评估工具，支持常见的web安全问题扫描和poc定制

检测速度快。 建设速度快； 漏洞检测算法是高效的。

支持范围广。 从OWASP Top 10的通用漏洞检测到各种CMS框架POC都可以支持。

代码质量高。 写码人素质高，通过代码评审、单元测试、集成测试等多层验证提高代码可靠性。

可以高度定制。 配置文件公开了引擎的各种参数，您可以通过修改配置文件来大大定制功能。

安全没有威胁。 xray被定位为安全辅助评估工具，而不是攻击工具，所有内置的payload和poc都是无害化检查。

当前支持的漏洞检测类型包括： XSS漏洞检测(key: xss )

SQL注入检查(key: sqldet ) ) )。

指令/代码注入检查(key: cmd-injection ) () ) ) ) ) ) ) ) ) )。

枚举(key: dirscan )

直通检测(key :路径- traversal )。

XML实体注入检查(key: xxe ) ) )。

文件上传检测(key: upload ) )。

弱密码检测(密钥： brute-force ) )。

jsonp检查(key: jsonp ) ) )。

SRF检查(key: ssrf ) )。

基线检查(key: baseline ) )。

任意跳跃检测(key: redirect ) ) ) )。

CRLF注入(key: crlf-injection ) )。

Struts2系列漏洞检测(高级版，key: struts ) )。

Thinkphp系列漏洞检测(高级版，key: thinkphp ) ) ) )。

POC框架(key: phantasm )。

其中POC框架默认内置有Github贡献的POC，用户也可以根据需要自行构建和运行POC。

下载地址github:https://github.com/chait in/Xray/releases/tag/1.8.2

下载到：下载工具

官方文档：下载xray官方文档

选择版本

版本提示：

darwin_amd64苹果系统

linux_386 Linux x86

linux_amd64 Linux x64

windows_386 Windows x86

windows_amd64 Windows x64

sha256.txt校准文件包含sha256的哈希值版本。 下载后，请自行校正，以免被劫持投毒。

Source Code是Github自动打包的，没有意义，请忽略。

基本使用提示：下载相应系统的版本后，解压缩zip文件。 Linux/Mac用户应在终端(终端)上运行，Windows用户应在Powershell或其他高级shell上运行。 用CMD运行可能体验不好。

xraywebscan—- basic-crawler http://example.com—-使用html-output vuln.html http代理进行漏洞扫描通过将t proxy.html浏览器中的http代理设置为http://127.0.0.1:7777，可以自动分析和扫描代理流量。

要下载https流量，请阅读世界文档以捕获https流量的部分

仅扫描一个网站，并手动指定爬行器xray网络扫描–URL http://example.com/a=B–html-output single-URL.html此次运行的插件

xraywebscan—-插件cmd-injection，sqldet—- URL http://example.comxraywebscan—-插件cmd-injection，)

xray网络扫描–URL http://example.com/a=b\- -文本-输出结果. txt– JSON -输出结果. JSON– html -输出

其他请阅读xray文档

提示：

使用Xray代理模式生成CA证书：

.\xray_windows_amd64.exe genca

此命令可以生成两个文件。

安装证书。

安装Burpsuite的CA证书

将xray “proxy”作为导出文件名启动。 请随心所欲地命名

.\Xray _ windows _ amd64.exewebscan– listen 127.0.0.13360777– html-output proxy.html

这样，可以自由浏览网页。 Xray会自动将扫描结果合并到输出proxy文件中