免责声明
本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。
工具介绍
xray扫描器 ray社区是长亭科技推出的免费白帽子工具平 台,目前社区有ray漏洞扫描器和Radium爬虫 工具,均有多名经验丰富的安全开发人员和数万名 社区贡献者共同打造而成。
特性
Xray 是一款功能强大的安全评估工具,主要特性有:
支持的漏洞检测类型:
-
XSS漏洞检测 (key: xss) -
SQL 注入检测 (key: sqldet) -
命令/代码注入检测 (key: cmd-injection) -
目录枚举 (key: dirscan) -
路径穿越检测 (key: path-traversal) -
XML 实体注入检测 (key: xxe) -
文件上传检测 (key: upload) -
弱口令检测 (key: brute-force) -
jsonp 检测 (key: jsonp) -
ssrf 检测 (key: ssrf) -
基线检查 (key: baseline) -
任意跳转检测 (key: redirect) -
CRLF 注入 (key: crlf-injection) -
Struts2 系列漏洞检测 (高级版,key: struts) -
Thinkphp系列漏洞检测 (高级版,key: thinkphp) -
XStream 系列漏洞检测 (key: xstream) -
POC 框架 (key: phantasm)
基本使用
解压缩zip文件。Windows用户请在Powershell或其他高级Shell中运行,在CMD中运行可能体验不佳。
使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描:
xray webscan --basic-crawler http://example.com --html-output xxx.html
使用 HTTP 代理进行被动扫描:
设置浏览器 http 代理为http://127.0.0.1:7777,然后使用浏览器访问网页,就可以自动分析代理流量并扫描。
xray webscan --listen 127.0.0.1:7777 --html-output xxx.html
快速测试单个 url, 无爬虫:
xray webscan --url http://example.com/?a=b --html-output single-url.html
手动指定本次运行的插件:
默认情况下,将会启用所有内置插件,可以使用下列命令指定本次扫描启用的插件。
xray webscan --plugins cmd_injection,sqldet --url http://example.comxray webscan --plugins cmd_injection,sqldet --listen 127.0.0.1:7777
生成 ca 证书:
.xray_windows_amd64.exe genca下载地址:
链接:https://pan.quark.cn/s/3963ffa85739
原文始发于微信公众号(WIN哥学安全):【工具更新】xray1.9.8_windows
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论