xray漏洞扫描器

全栈程序员站长

发布于 2022-08-23 20:13:44

1.5K0

发布于 2022-08-23 20:13:44

文章被收录于专栏：全栈程序员必看全栈程序员必看

大家好，又见面了，我是你们的朋友全栈君。

文章目录

一、xray下载

xray 是一款功能强大的安全评估工具，由多名经验丰富的一线安全从业者呕心打造而成，主要特性有: 1、检测速度快。发包速度快; 漏洞检测算法高效。 2、支持范围广。大至 OWASP Top 10 通用漏洞检测，小至各种 CMS 框架 POC，均可以支持。 3、代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 4、高级可定制。通过配置文件暴露了引擎的各种参数，通过修改配置文件可以极大的客制化功能。 5、安全无威胁。xray 定位为一款安全辅助评估工具，而不是攻击工具，内置的所有 payload 和 poc 均为无害化检查。

国内下载：https://download.xray.cool/：下载位置页面见下图1。 github下载：https://github.com/chaitin/xray：下载位置页面见下图2。

图1：

图2:

图3各个版本详解：
xray_linux_386.zip 为 linux 32 位系统使用；
xray_linux_arm64.zip 为 linux ARM 架构 64 位系统；
xray_linux_amd64.zip 为 linux 64 位系统使用；
xray_linux_arm.zip 为 linux ARM 架构 32 位系统，主要是手机、路由器、树莓派等；
xray_darwin_amd64.zip 为Mac 系统使用；
xray_darwin_arm64.zip 为Mac ARM架构系统使用；
xray_windows_386.exe.zip 为 windows 32 位机器使用；
xray_windows_amd64.exe.zip 为 windows 64 位机器使用；

图3：

二、xray安装、使用

详情可查看官方文档地址：https://docs.xray.cool/

xray 为单文件二进制文件，无依赖，也无需安装，下载后直接使用。

目前支持的漏洞检测类型包括:

XSS漏洞检测 (key: xss)
SQL 注入检测 (key: sqldet)
命令/代码注入检测 (key: cmd-injection)
目录枚举 (key: dirscan)
路径穿越检测 (key: path-traversal)
XML 实体注入检测 (key: xxe)
文件上传检测 (key: upload)
弱口令检测 (key: brute-force)
jsonp 检测 (key: jsonp)
ssrf 检测 (key: ssrf)
基线检查 (key: baseline)
任意跳转检测 (key: redirect)
CRLF 注入 (key: crlf-injection)
Struts2 系列漏洞检测 (高级版，key: struts)
Thinkphp系列漏洞检测 (高级版，key: thinkphp)
POC 框架 (key: phantasm)
其中 POC 框架默认内置 Github 上贡献的 poc，用户也可以根据需要自行构建 poc 并运行。

命令行下输入.\xray_windows_amd64.exe version