一款强大的安全评估工具:Xray

最新推荐文章于 2025-04-04 17:56:39 发布
最新推荐文章于 2025-04-04 17:56:39 发布
阅读量390 收藏 4
点赞数 3
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00792/article/details/144765187

一款强大的安全评估工具:Xray

xray 一款完善的安全评估工具,支持常见 web 安全问题扫描和自定义 poc | 使用之前务必先阅读文档 xray 项目地址: https://gitcode.com/gh_mirrors/xra/xray

Xray 是一款由 优快云 公司开发的,用于安全评估的开源工具,主要采用 Go 语言进行开发。该项目旨在支持常见 Web 安全问题的扫描,并允许用户自定义 POC (Proof of Concept)。

项目基础介绍

Xray 的主要编程语言是 Go,它利用 Go 语言的强大性能和并发特性,实现了高效的安全检测。项目提供了丰富的功能模块,可以针对多种 Web 安全漏洞进行检测,并且支持自定义检测插件,极大地提高了安全评估的灵活性和可扩展性。

核心功能

  • Web 安全扫描:支持常见的 Web 安全问题扫描,如 XSS 漏洞、SQL 注入、命令注入等。
  • 自定义 POC:用户可以根据需要构建和运行自定义的 POC。
  • 插件系统:拥有丰富的插件,支持指纹识别、目录枚举、路径穿越检测等多种安全检测功能。
  • 被动扫描:可以通过 HTTP 代理进行被动扫描,自动分析代理流量并扫描。
  • 报告生成:提供 HTML、JSON、文本等多种格式的报告输出。

最近更新的功能

  • 版本更新:项目推出了 Xray 2.0 版本,该版本致力于提升功能使用的流畅度,降低使用门槛,并整合了一系列新的安全工具,形成一个全面的安全工具集。
  • 新工具发布:Xray 2.0 系列推出了第二款工具 Xapp,它是一款专注于 Web 指纹识别的工具,可以帮助用户识别 Web 目标所使用的技术,为安全测试做好准备。
  • 插件存储库:为插件创建了一个专门的存储库,方便共享和使用各种插件,同时也鼓励用户积极贡献和优化插件。

通过这些更新,Xray 进一步提高了其在 Web 安全评估领域的专业性和实用性,为安全从业者提供了更加强大和便捷的工具。

xray 一款完善的安全评估工具,支持常见 web 安全问题扫描和自定义 poc | 使用之前务必先阅读文档 xray 项目地址: https://gitcode.com/gh_mirrors/xra/xray

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

xray安全测试工具
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
03-01 535
Xray一款功能强大安全评估工具,支持主动、被动多中扫描方式,支持常见web漏洞的自动化测试,xray安全测试工具,可以灵活定义POC,功能丰富,调用简单,支持多种操作系统。 官网:https://docs.xray.cool xray一款功能强大安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: • 检测速度快。发包速度快; 漏洞检测算法效率高。 • 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 • 代码质量高。编写代
xray:一种完善的安全评估工具,支持常见的网络安全问题扫描和自定义poc |使用之前初级先阅读文档
02-05
一款功能强大安全评估工具 :sparkles: 演示版 :house: :down_arrow_selector: 注意:xray不开源,直接下载构建的二进制文件即可,仓库内部主要为社区贡献的poc,每次xray发布将自动打包。 :rocket:快速使用 在...
Web漏洞扫描工具Xray:长亭自研的完善安全评估工具详解
最新发布
Java程序员_编程开发学习笔记_网站安全运维教程_渗透技术教程
04-04 1498
Xray是长亭科技自主研发的一款完善的安全评估工具,专注于Web应用安全检测。它支持对常见Web安全问题进行自动化扫描,并提供了强大的自定义POC(Proof of Concept)功能,能够根据用户需求扩展检测能力。
Xray安全评估工具使用
Libra1313的博客
02-22 1304
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
xray 安全评估工具使用教程
gitblog_00221的博客
09-25 961
xray 安全评估工具使用教程 xray 一款完善的安全评估工具,支持常见 web 安全问题扫描和自定义 poc | 使用之前务必先阅读文档 项目地址: https://gitcode.com/gh_mirrors/xra/xra...
xray - 安全评估工具,支持常见 web 安全问题扫描和自定义 poc.zip
07-18
Xray安全评估工具详解及自定义POC实践》 在网络安全领域,评估和检测潜在的安全漏洞至关重要。Xray,作为一个强大安全评估工具,它专门针对Web安全问题设计,能够帮助用户发现并修复常见的安全漏洞。本文将...
xray安全评估工具:全面扫描Web安全漏洞与自定义POC支持
资源摘要信息:"xray是一种安全评估工具,主要用于对web安全问题进行扫描,同时也支持...总的来说,xray是一种功能强大、操作简便的安全评估工具,无论是在安全研究,还是在日常的安全维护中,都能提供很大的帮助。
Xray安全评估工具.zip
04-28
Xray一款备受瞩目的安全评估工具,主要用于Web渗透测试,其强大的功能和高效性在IT安全领域内得到了广泛的认可。本篇文章将深入探讨Xray的核心特性、使用方法以及相关配置文件的作用,帮助读者全面了解这一工具的...
Xray 1.9.3:安全评估工具的高级版特性解析
1. Xray: Xray作为工具的名称,代表了这款高级的安全评估工具。 2. Xray 1.9.3: 特指Xray工具的1.9.3版本,表明了其特定的更新和版本特性。 3. 漏洞扫描:安全评估中的一个过程,通过扫描可以发现系统中的安全漏洞...
Xray-web漏洞扫描工具.zip
02-02
xray一款功能强大安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 目前支持的漏洞检测类型包括: XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd_injection) 目录枚举 (key: dirscan) 路径穿越检测 (key: path_traversal) XML 实体注入检测 (key: xxe) 文件上传检测 (key: upload) 弱口令检测 (key: brute_force) jsonp 检测 (key: jsonp) ssrf 检测 (key: ssrf) 基线检查 (key: baseline) 任意跳转检测 (key: redirect) CRLF 注入 (key: crlf_injection) Struts2 系列漏洞检测 (高级版,key: struts) Thinkphp系列漏洞检测 (高级版,key: thinkphp) POC 框架 (key: phantasm) 其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。 设计理念 发最少的包做效果最好的探测。 如果一个请求可以确信漏洞存在,那就发一个请求。如果两种漏洞环境可以用同一个 payload 探测出来,那就 不要拆成两个。 允许一定程度上的误报来换取扫描速度的提升 漏洞检测工具无法面面俱到,在漏报和误报的选择上必然要选择误报。如果在使用中发现误报比较严重,可以进行反馈。 尽量不用时间盲注等机制检测漏洞。 时间检测受影响因素太多且不可控,而且可能会影响其他插件的运行。因此除非必要(如 sql)请尽量使用与时间无关的 payload。 尽量不使用盲打平台 如果一个漏洞能用回显检测就用回显检测,因为盲打平台增加了漏洞检测过程的不确定性和复杂性。 耗时操作谨慎处理 全局使用 Context 做管理,不会因为某个请求而导致全局卡死。 简易架构 了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置,方便大家更好的使用。 整体来看,扫描器这类工具大致都是由三部分组成: 来源处理 漏洞检测 结果输出 来源处理 这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了四个入口,分别是 HTTP 被动代理 简易爬虫 单个 URL URL列表的文件 单个原始 HTTP 请求文件 漏洞检测 这一部分是引擎的核心功能,用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件,配置扫描插件的参数,配置 HTTP 相关参数等。 结果输出 漏洞扫描和运行时的状态统称为结果输出,xray 定义了如下几种输出方式: Stdout (屏幕输出, 默认开启) JSON 文件输出 HTML 报告输出 Webhook 输出 使用教程见:xray一款功能强大安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 目前支持的漏洞检测类型包括: XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd_injection) 目录枚举 (key: dirscan) 路径穿越检测 (key: path_traversal) XML 实体注入检测 (key: xxe) 文件上传检测 (key: upload) 弱口令检测 (key: brute_force) jsonp 检测 (key: jsonp) ssrf 检测 (key: ssrf) 基线检查 (key: baseline) 任意跳转检测 (key: redirect) CRLF 注入 (key: crlf_injection) Struts2 系列漏洞检测 (高级版,key: struts) Thinkphp系列漏洞检测 (高级版,key: thinkphp) POC 框架 (key: phantasm) 其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。 设计理念 发最少的包做效果最好的探测。 如果一个请求可以确信漏洞存在,那就发一个请求。如果两种漏洞环境可以用同一个 payload 探测出来,那就 不要拆成两个。 允许一定程度上的误报来换取扫描速度的提升 漏洞检测工具无法面面俱到,在漏报和误报的选择上必然要选择误报。如果在使用中发现误报比较严重,可以进行反馈。 尽量不用时间盲注等机制检测漏洞。 时间检测受影响因素太多且不可控,而且可能会影响其他插件的运行。因此除非必要(如 sql)请尽量使用与时间无关的 payload。 尽量不使用盲打平台 如果一个漏洞能用回显检测就用回显检测,因为盲打平台增加了漏洞检测过程的不确定性和复杂性。 耗时操作谨慎处理 全局使用 Context 做管理,不会因为某个请求而导致全局卡死。 简易架构 了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置,方便大家更好的使用。 整体来看,扫描器这类工具大致都是由三部分组成: 来源处理 漏洞检测 结果输出 来源处理 这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了四个入口,分别是 HTTP 被动代理 简易爬虫 单个 URL URL列表的文件 单个原始 HTTP 请求文件 漏洞检测 这一部分是引擎的核心功能,用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件,配置扫描插件的参数,配置 HTTP 相关参数等。 结果输出 漏洞扫描和运行时的状态统称为结果输出,xray 定义了如下几种输出方式: Stdout (屏幕输出, 默认开启) JSON 文件输出 HTML 报告输出 Webhook 输出
xray安全漏洞检测(高效能)
热门推荐
一夜白头催人泪
03-29 1万+
风险告知: 请勿在未授权情况下,对网站进行安全扫描,存在很大的法律风险,详细请了解网络安全法。 血的案例:"白帽黑客"找漏洞被抓引争议世纪佳缘否认"钓鱼"--传媒--人民网 在正式运行xray生成配置文件config.yaml后, 请优先修改配置项,确认扫描范围,再重新启动xray 如不预先配置,默认扫描所有站点,存在非常大的法律风险,请知悉!!! xray一款功能强大安全评估工具,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP To.
安全测试 —— 如何使用burpsuite+xray实现联动测试?
MAYUHAO1011的博客
04-12 666
目的:安全测试过程中手动分析测试与xray自动化扫描测试结合,这样可以从多层保障安全测试的分析,针对平台业务接口量大的安全测试是十分有用的,可以实现双向测试同时开始。
xray:漏洞扫描利器
zkaqlaoniao的博客
11-07 7678
长亭科技旗下的一款网络安全漏洞扫描工具,用于检测和评估web应用程序的安全性。具有一下特点:检测速读快、检查范围广、代码质量高、高级可定制以及安全无危害。属于不开源的项目,用户直接下载xray的可执行文件,即可运行该工具xray使用了与burpsuit一样的盈利模式:社区版、高级版和企业版XSS漏洞检测 (key: xss)SQL 注入检测 (key: sqldet)命令/代码注入检测 (key: cmd-injection)目录枚举 (key: dirscan)
漏洞扫描器 XRAY
HAKUNAMATATATTA的博客
11-27 5162
xray一款功能强大安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:检测速度快:发包速度快;漏洞检测算法高效。支持范围广:大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。代码质量高:编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。高级可定制:通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
【每天学会一个渗透测试工具Xray安装及使用指南
菜鸟小羊的博客
06-18 3579
代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。基于代理模式进行的扫描,扫描器作为中间人,原样转发流量并返回响应给客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。基于爬虫模式进行的扫描,模拟人工去点击网页链接,快速爬取网站目录,看有哪些目录对互联网开放,再用漏洞扫描看看是否有漏洞。设置——>隐私与安全——>证书——>查看证书。
【渗透工具xray的安装与使用教程
qq_39972370的博客
03-20 6369
xray一款功能强大安全评估工具,主要用于web安全扫描器。
Xray工具的安装与使用
Dream的博客
09-17 1568
xray 配置文件中默认不允许扫描 gov 和 edu 等网站,如果想对这些网站进行授权测试,需要在config.yaml配置文件中移除hostname_disallowed​​ 的相关配置才可以。严禁未授权的测试!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孙茹纳

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值