远赴人间今鸿雁。 从世界繁荣的语言来看,xray是一个强大的扫描工具。 xray社区版是长亭科技推出的免费白帽子工具平台,由经验丰富的安全开发者和数万名社区贡献者共同打造。 的功能独特的安全评估工具,支持常见的web安全问题扫描和poc定制
检测速度快。 建设速度快; 漏洞检测算法是高效的。
支持范围广。 从OWASP Top 10的通用漏洞检测到各种CMS框架POC都可以支持。
代码质量高。 写码人素质高,通过代码评审、单元测试、集成测试等多层验证提高代码可靠性。
可以高度定制。 配置文件公开了引擎的各种参数,您可以通过修改配置文件来大大定制功能。
安全没有威胁。 xray被定位为安全辅助评估工具,而不是攻击工具,所有内置的payload和poc都是无害化检查。
当前支持的漏洞检测类型包括: XSS漏洞检测(key: xss )
SQL注入检查(key: sqldet ) ) )。
指令/代码注入检查(key: cmd-injection ) () ) ) ) ) ) ) ) ) )。
枚举(key: dirscan )
直通检测(key :路径- traversal )。
XML实体注入检查(key: xxe ) ) )。
文件上传检测(key: upload ) )。
弱密码检测(密钥: brute-force ) )。
jsonp检查(key: jsonp ) ) )。
SRF检查(key: ssrf ) )。
基线检查(key: baseline ) )。
任意跳跃检测(key: redirect ) ) ) )。
CRLF注入(key: crlf-injection ) )。
Struts2系列漏洞检测(高级版,key: struts ) )。
Thinkphp系列漏洞检测(高级版,key: thinkphp ) ) ) )。
POC框架(key: phantasm )。
其中POC框架默认内置有Github贡献的POC,用户也可以根据需要自行构建和运行POC。
下载地址github:https://github.com/chait in/Xray/releases/tag/1.8.2
下载到:下载工具
官方文档:下载xray官方文档
选择版本
版本提示:
darwin_amd64苹果系统
linux_386 Linux x86
linux_amd64 Linux x64
windows_386 Windows x86
windows_amd64 Windows x64
sha256.txt校准文件包含sha256的哈希值版本。 下载后,请自行校正,以免被劫持投毒。
Source Code是Github自动打包的,没有意义,请忽略。
基本使用提示:下载相应系统的版本后,解压缩zip文件。 Linux/Mac用户应在终端(终端)上运行,Windows用户应在Powershell或其他高级shell上运行。 用CMD运行可能体验不好。
xraywebscan—- basic-crawler http://example.com—-使用html-output vuln.html http代理进行漏洞扫描通过将t proxy.html浏览器中的http代理设置为http://127.0.0.1:7777,可以自动分析和扫描代理流量。
要下载https流量,请阅读世界文档以捕获https流量的部分
仅扫描一个网站,并手动指定爬行器xray网络扫描–URL http://example.com/a=B–html-output single-URL.html此次运行的插件
xraywebscan—-插件cmd-injection,sqldet—- URL http://example.comxraywebscan—-插件cmd-injection,)
xray网络扫描–URL http://example.com/a=b\- -文本-输出结果. txt– JSON -输出结果. JSON– html -输出
其他请阅读xray文档
提示:
使用Xray代理模式生成CA证书:
.\xray_windows_amd64.exe genca
此命令可以生成两个文件。
安装证书。
安装Burpsuite的CA证书
将xray “proxy”作为导出文件名启动。 请随心所欲地命名
.\Xray _ windows _ amd64.exewebscan– listen 127.0.0.13360777– html-output proxy.html
这样,可以自由浏览网页。 Xray会自动将扫描结果合并到输出proxy文件中