xray扫描器的安装及应用

最新推荐文章于 2024-10-14 16:03:31 发布
最新推荐文章于 2024-10-14 16:03:31 发布
阅读量3.4k 收藏 1
点赞数
分类专栏: 扫描器 文章标签: web安全 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cs_mengxi/article/details/126628342
版权

xray扫描器的简介

xray是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器

工具功能

新的检测模块将不断添加
● 添加burp的history导出文件转yml脚本的功能
● log4j2-rce的检测
● 为自定义脚本(gamma)添加格式化时间戳函数
● 为自定义脚本(gamma)添加进制转换函数
● 为自定义脚本(gamma)添加sha,hmacsha函数
● 为自定义脚本(gamma)添加url全字符编码函数
● XSS漏洞检测 (key: xss)
利用语义分析的方式检测XSS漏洞
● SQL 注入检测 (key: sqldet)
支持报错注入、布尔注入和时间盲注等
● 命令/代码注入检测 (key: cmd-injection)
支持 shell 命令注入、PHP 代码执行、模板注入等
● 目录枚举 (key: dirscan)
检测备份文件、临时文件、debug 页面、配置文件等10余类敏感路径和文件
● 路径穿越检测 (key: path-traversal)
支持常见平台和编码
● XML 实体注入检测 (key: xxe)
支持有回显和反连平台检测
● poc 管理 (key: phantasm)
默认内置部分常用的 poc,用户可以根据需要自行构建 poc 并运行。文档:https://docs.xray.cool/#/guide/poc
● 文件上传检测 (key: upload)
支持常见的后端语言
● 弱口令检测 (key: brute-force)
社区版支持检测 HTTP 基础认证和简易表单弱口令,内置常见用户名和密码字典
● jsonp 检测 (key: jsonp)
检测包含敏感信息可以被跨域读取的 jsonp 接口
● ssrf 检测 (key: ssrf)
ssrf 检测模块,支持常见的绕过技术和反连平台检测
● 基线检查 (key: baseline)
检测低 SSL 版本、缺失的或错误添加的 http 头等
● 任意跳转检测 (key: redirect)
支持 HTML meta 跳转、30x 跳转等
● CRLF 注入 (key: crlf-injection)
检测 HTTP 头注入,支持 query、body 等位置的参数
● Struts2 系列漏洞检测 (高级版,key: struts)
检测目标网站是否存在Struts2系列漏洞,包括s2-016、s2-032、s2-045等常见漏洞
● Thinkphp系列漏洞检测 (高级版,key: thinkphp)
检测ThinkPHP开发的网站的相关漏洞
详细解释参考

扫描器的安装

  1. 下载环境系统所需要的安装包https://github.com/chaitin/xray/releases
  2. 进入到xray 文件夹中,运行 .\xray_windows_amd64.exe genca 生成证书
    证书
  3. 安装证书,根据默认进行安装即可
  4. 设置浏览器代理
    代理
  5. 启动xray扫描器,并监听7777端口,并输出文档(文档名称可修改,后缀为html即可)
    ./xray_darwin_amd64 webscan --listen 127.0.0.1:7777 --html-output xray.html
  6. 在浏览器中切换为配置的代理模式,就可访问需要进行测试的网站地址。由于是被动扫描,需要手动浏览网页内容,手动停止扫(control+c)
  7. 扫描结束,在xray文件夹中查看报告

注:不同参数对应不同的输出方式
无参数:输出到控制台的标准输出
text-output:输出到文本文件中
json-output:输出到 JSON 文件中
html-output:输出到 HTML 文件中

cs_mengxi
关注
专栏目录
xray使用初试-扫描登录后的APP
u011975363的专栏
05-06 4505
平时用的扫描器一般是AWVS,appscan等,属于主动扫描,但对于登录后的各种功能都不方便扫描,今天经同事指导,认识了xray扫描器,利用该扫描器配置代理对登录后的app进行了扫描,效果还不错,因此记录下来与大家分享。
(一)Xray-的安装,入门的使用方法
m0_52027565的博客
06-06 1万+
Xray的新手教程 作为一个新接触信息安全专业的菜鸟,最近突然对Xray扫描器产生了兴趣。下面来看看我的学习路程吧! 1. 什么是Xray? 2. 关于Xray安装及运用。 3. 关于Xray的建议 1.Xray 是什么? 首先,它是一款非常功能强大的国产被动扫描工具,是长亭科技开发的社区版漏洞扫描神器。它的应用范围非常广eg:Web 通用漏洞检测,社区 POC 集成,被动代理扫描,浏览器爬虫扫描,报告输出,子域名扫描功能,主机漏洞检测,合规/基线扫描日志扫描模式,流量扫描模式… 所以,xray是白帽子
Xray安装与使用基础
Salois的博客
12-19 1753
官方使用指南:https://docs.xray.cool/#/tutorial/introduce。下载地址:https://stack.chaitin.com/tool/detail/1。选择将所有证书放入下列存储→受信任的根证书颁发机构,点击确定,即可完成证书导入。可新建情景模式,输入代理服务器ip,端口号设置平常不使用的,如7777。打开浏览器代理,代理开启后xray会监听在此界面的网页。将生成的证书添加到浏览器中,点击设置→隐私→管理证书。进入cmd,先cd到xray目录下,然后再运行。
【渗透工具】xray安装与使用教程
qq_39972370的博客
03-20 3406
xray 是一款功能强大的安全评估工具,主要用于web安全扫描器
xray工具保姆级的安装与使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
hackeroink的博客
10-14 1261
xray是一款辅助评估的扫描工具,不带有攻击。且支持 Windows / macOS / Linux 多种操作系统,本文中主要介绍他的安装以及使用。
常规漏洞检测工具-xray(三)
siu~
08-03 356
xray 是一款功能强大的安全评估工具。
Xray-强大的漏洞扫描工具
qq_59923059的博客
08-07 8269
xray 支持用户使用 YAML 编写 POC。YAML 格式的 “值” 无需使用双引号包裹,特殊字符无需转义YAML 格式使内容更加可读YAML 中可以使用注释rules:生成器将 POC 保存到 YAML 文件后使用--poc🚩总结🚩:xray扫描器解放了我的双手.好好学习SRC天天有.我的公众号.各位大佬们.关注一下.在下感激不尽....
安全扫描】linglong:一款甲方资产巡航扫描系统
Enweitech Software Works
04-20 2046
linglong 一款资产巡航扫描系统。系统定位是通过masscan+nmap无限循环去发现新增资产,自动进行端口弱口令爆破/、指纹识别、XrayPoc扫描。主要功能包括:资产探测、端口爆破、Poc扫描、指纹识别、定时任务、管理后台识别、报表展示。 使用场景是Docker搭建好之后,设置好你要扫描的网段跟爆破任务。就不要管他了,没事过来收漏洞就行了 功能清单 masscan+namp巡航扫描资产 创建定时爆破任务(FTP/SSH/SMB/MSSQL/MYSQL/POSTGRESQL/MONGOD.
crawlergo_x_XRAY:crawlergo动态爬虫+长亭XRAY扫描器的被动扫描
01-20
在网络安全领域,动态爬虫和安全扫描器是两种重要的工具,它们被用于发现网络应用程序的安全漏洞和潜在风险。本文将详细介绍360 0Kee-Team开发的`crawlergo`动态爬虫以及长亭科技的`XRAY`扫描器,并讨论如何结合两者...
xray自动扫描工具.zip
10-06
这个名为"xray自动扫描工具.zip"的压缩包包含了在Windows AMD64平台上运行的Xray扫描器的可执行文件(xray_windows_amd64.exe),以及相关的密钥文件(ca.key)、命令文档(指令.txt)和配置文件(config.yaml)。...
好用的漏洞扫描xray
08-23
**Xray 漏洞扫描器详解** Xray 是由长亭科技开发的一款高效、全面的漏洞扫描工具,尤其在网络安全领域中广受好评。它以其强大的扫描能力、易用性和准确性著称,帮助企业及个人用户及时发现并修复网络安全问题,从而...
xray1.3.3高级版个人自用全版本.zip
11-09
xray高级版,lincense,可使用到2099年。全版本(win,mac,linux)使用。个人自用版本。
XRay安装使用以及Burp联动
热门推荐
柠鹿的轨迹
11-09 2万+
0x00 前言 XRay是长亭科技洞鉴核心引擎中提取出的社区版漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描、被动代理扫描、社区POC集成…… XRay 的定位是一款安全辅助评估工具,而不是攻击工具,其内置的所有 payload 和 poc 均为无害化检查。毫不犹豫的说,XRay属于渗透测试人员安全渗透的一大神兵利器! 可以想象,当Burp与XRay联动时,必将碰撞出不一样的火花! 0x01 下载XRay ...
【漏扫工具xray】简介、下载、使用步骤、命令指南、导入安全证书
05-15 6299
【漏扫工具】XRAY使用
xray自动化扫描工具批量化扫描
violated的博客
05-25 738
XRay 的定位是一款安全辅助评估工具,而不是攻击工具,其内置的所有 payload 和 poc 均为无害化检查。毫不犹豫的说,XRay属于渗透测试人员安全渗透的一大神兵利器!XRay是长亭科技洞鉴核心引擎中提取出的社区版漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描、被动代理扫描、社区POC集成……以上是xray工具批量扫描,先将需要扫描的域名放在xray目录下面,命名为ips.txt,扫描完成后并将扫描后的结果保存在output下面。
xray扫描器的使用 (长亭科技公司创造)
yyj1781572的博客
11-27 9147
xray扫描器的使用 xray是一款可以使用HTTP/HTTPS代理进行被动扫描安全工具
xray简单使用指南
weixin_44259638的博客
05-06 2989
前言收到需求如下 用户还需要一个报告 询问了群里的小伙伴推荐使用xray进行扫描xray漏洞扫描G了,领导不满意的是还需要人写测试报告,因此采用awvs可以直接生成PDF发给甲方看。
Xray扫描器使用联动 burp,以及结合 fofa 批量自动化挖洞
Love&Share
04-02 1万+
xray简介 xray (https://github.com/chaitin/xray) 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。 特点 xray 为单文件二进制文件,无依赖,也无需安装,下载后直接使用 使用 go 语言编写,跨平台、纯异步、无阻塞,并发能力强,扫描速度刚刚的 提供多种使用
探索Log4j2内网扫描工具:安全防护的新利器
gitblog_00071的博客
04-22 523
探索Log4j2内网扫描工具:安全防护的新利器 去发现同类优质开源项目:https://gitcode.com/ 在最近的安全事件中,Apache Log4j2的远程代码执行漏洞(CVE-2021-44228)引起了广泛的关注。为了解决这个问题,开发者创建了一个名为log4j2-intranet-scan的工具,旨在帮助系统管理员和网络安全专家快速检测内网中的Log4j2漏洞。 项目简介 log4...
xray批量扫描url
05-19
你可以使用一些工具来批量扫描URL中的XSS漏洞,例如: 1. OWASP ZAP:这是一款功能强大的开源Web应用程序安全测试工具,它可以扫描XSS漏洞以及其他Web应用程序安全问题。 2. Nikto:这是一款开源的Web服务器扫描器,它可以扫描Web应用程序中的漏洞和安全问题,包括XSS漏洞。 3. Burp Suite:这是一款流行的Web应用程序安全测试工具,它包括许多模块,可以用于扫描XSS漏洞以及其他Web应用程序漏洞。 4. Acunetix:这是一款商业Web应用程序安全测试工具,它可以自动扫描Web应用程序中的漏洞和安全问题,包括XSS漏洞。 请注意,扫描URL中的漏洞是一项敏感的任务,必须获得所有相关方的明确许可才能进行。此外,应该始终遵循良好的道德准则,并尊重Web应用程序的所有权利和隐私。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值