探索网络安全新工具:XRay POC Generation

于 2024-03-28 09:43:52 发布
阅读量292 收藏 7
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00054/article/details/137100262
版权
XRayPOCGeneration是一个由phith0n开发的开源项目,通过规则引擎自动生成PoC代码,支持多种Web漏洞检测,用于渗透测试、漏洞管理和研究。用户可以通过pip安装并使用,显著提升安全测试效率。
摘要由CSDN通过智能技术生成

探索网络安全新工具:XRay POC Generation

在网络安全领域,有效的漏洞检测和利用是保障系统安全的关键步骤。 是一个由 phith0n 开发的开源项目,它旨在自动化生成 Proof of Concept (PoC) 代码,帮助安全研究人员快速验证已知的安全漏洞。

项目简介

XRay POC Generation 是一套基于 Python 的框架,主要用于自动生成 PoC 代码,涵盖了多种常见 Web 漏洞类型,如 SQL 注入、命令注入、跨站脚本等。通过这个项目,你可以节省大量的手动编写 PoC 测试代码的时间,更高效地进行渗透测试或漏洞扫描。

技术分析

该项目的核心在于其规则引擎,该引擎定义了各种漏洞的检测逻辑和模板。当输入特定的漏洞信息时,如 CVE ID 或描述,XRay 将根据这些信息匹配相应的规则,并生成对应的 PoC 代码。此外,项目还集成了 CVE 数据库,可以实时获取最新的漏洞信息。

XRay 支持以下主要特性:

  1. 模块化设计:允许扩展和定制新的漏洞检测规则。
  2. 多语言支持:生成的 PoC 代码可覆盖 PHP, Java, ASP.NET 等多种后端语言。
  3. 自动化处理:自动抓取并解析 CVE 描述,减少人为操作。
  4. 灵活性:可以根据具体需求调整生成的 PoC 结构和内容。

应用场景

  • 渗透测试:安全专业人员可以在对目标系统进行渗透测试时,快速生成针对已知漏洞的 PoC 代码,提高测试效率。
  • 漏洞管理:帮助企业或组织及时了解和验证新披露的漏洞,构建更完善的安全防护体系。
  • 研究与教学:对于学习信息安全的学生或者研究人员,XRay 可以作为理解漏洞特性和编写 PoC 代码的实践工具。

特点亮点

  • 易于使用:提供简洁的命令行接口,无需复杂的配置即可开始使用。
  • 持续更新:随着新的 CVE 发布,项目会定期更新,确保你能获得最新漏洞的相关信息。
  • 社区支持:作为一个开放源代码项目,XRay 有活跃的开发者社区,不断贡献和完善功能。

要开始使用 XRay,请参照项目的文档和示例,加入到这个强大的安全测试工具行列中吧!如果你对网络安全有兴趣,或者正面临大量 PoC 生成的工作,那么 XRay POC Generation 绝对值得你尝试。

# 安装
pip install xray-poc-generation

# 使用
xray poc -c CVE-2019-12345

让我们一起探索 XRay 带来的便捷和高效,为网络安全保驾护航!

伍辰惟
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
xray 与burp联动_学习一款躺着收洞的神器:XRay
weixin_39609752的博客
11-21 588
0x01 前言自从去年小白师傅在owasp论坛上分享过这个工具后,从此一发不可收拾,开启了躺着收洞的好日子(略浮夸~),本以为这个神器应该是小白入门标配,没想到前些日子看到官网竟然联合i春秋出了视频,足见对小白选手的”友好程度”,因此斗哥本着漏斗社区带你进入白帽子的奇妙世界的宗旨,带各位小伙伴学习这款优秀的工具,本篇适用小白选手,大佬勿喷。0x02 XRay介绍XRay是一款定位用于we...
xray1.9.3最社区高级版包含722POC
10-28
日志 做了一些优化 优化扫描效率 增强子域名收集功能 增加了一些功能 添加burp的history导出文件转yml脚本的功能 log4j2-rce的检测
xray-poc-generation::dna: 辅助生成 XRay YAML POC
05-06
:dna: XRay POC Generation XRay安全评估 > POC辅助生成工具。 关于XRay: 访问 即可直接使用。 :laptop: 本地运行 本地运行XRay POC Generation: git clone https://github.com/phith0n/xray-poc-generation cd xray-poc-generation yarn yarn build 编译完成后,Web目录在build/文件夹。
今天请假,在家关注学习了几个公众号
离别歌
12-29 613
作家弗吉尼亚•伍尔夫说:“如果你正在失去你的闲暇时光,小心!可能你正在失去你的灵魂。”在浮躁的当下,愿我们不再被手机支配,而是通过手机获取知,拓宽眼界。以下推荐 6 个优质公众号,它们有...
GraphQL访问安全分析
360linker
03-25 2140
说在前面的话 本文以GraphQL中一些容易让初学者与典型Web API(为了便于理解,下文以目前流行的RESTful API为例代指)混淆或错误理解的概念特性进行内容划分,由我从安全的角度抛出GraphQL应该注意的几点安全问题,而@图南则会更多的从开发的角度给出他在实际使用过程中总结的最佳实践。 另外,需要提前声明的是,本文中我使用的后端开发语言是Go,@图南使用的是Node.js,前端统...
工具Xray的安装,入门的使用方法
热门推荐
分享Python知识
03-30 1万+
工具Xray的安装,入门的使用方法
Xray-强大的漏洞扫描工具
qq_59923059的博客
08-07 8075
xray 支持用户使用 YAML 编写 POC。YAML 格式的 “值” 无需使用双引号包裹,特殊字符无需转义YAML 格式使内容更加可读YAML 中可以使用注释rules:生成器将 POC 保存到 YAML 文件后使用--poc🚩总结🚩:xray扫描器解放了我的双手.好好学习SRC天天有.我的公众号.各位大佬们.关注一下.在下感激不尽....
Xray-examples:Xray-core用法的一些示例
03-11
X射线示例从
xray - 安全评估工具,支持常见 web 安全问题扫描和自定义 poc.zip
07-18
Xray:安全评估工具详解及自定义POC实践》 在网络安全领域,评估和检测潜在的安全漏洞至关重要。Xray,作为一个强大的安全评估工具,它专门针对Web安全问题设计,能够帮助用户发现并修复常见的安全漏洞。本文将...
xray1.9.11高级版下载Windows/Linux
01-15
xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 目前支持的漏洞检测类型包括: XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd-...
pwnhub沙龙web两则
dengzhasong7076的博客
08-14 145
国家保卫者 详情 Phith0n作为一个国家保卫者,最近发现国际网络中有一些奇怪的数据包,他取了一个最简单的(神秘代码 123456 ),希望能分析出有趣的东西来。 https://pwnhub.cn/attachments/170812_okKJICF5RDsF/package.pcapng 更 2017.08.12 15:34:12关键字:8388端口是干嘛的、...
gopoc:用cel-go重现了长亭xraypoc检测功能的轮子
03-20
中国人 提供了很多优秀简洁直观的POC,但是X射线并不开源,无法进行二次开发改造。 于是根据xray文档中的检测poc的思路,用写了一个轮子,方便批量检测。 目前只支持ceye.io作为反连的验证平台,适合小规模批量验证。我不知道怎么实现类型注入 另外,如果双方只能在同一个内网才能互通,估计得用http路径来分辨了,这个后期再完善。 支持多种检测方式一对一,分开目标执行分割poc gopoc -t http://www.test.com -p poc.yaml 一对多,个别目标执行多个poc gopoc -t http://www.test.com -P "poc/*" 多对一,多个目标执行个别poc gopoc -l urls.txt -p poc.yaml 多对多,多个目标执行多个poc gopoc -l urls.txt -P "pocs/*" 其他几个参数说明如下 -t 请
xray Web扫描器学习记录
weixin_50464560的博客
06-06 4106
简介项目地址:https://github.com/chaitin/xray 长亭科技研发的一款完善的安全评估工具,支持常见Web安全问题扫描和自定义POC,虽然Github有项目,但是不开源,只提供社区版本供大家使用。 基本使用代理模式代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重发送请求进行扫描。这种原理和Burpsuite的自带的漏扫原理是一样的。 生成ca证书Bash# 生成 .
----已搬运------浅入深出 Fastcgi 协议分析与 PHP-FPM 攻击方法--------学习子自大佬的教程 ftp那里没做完
Zero_Adam的博客
06-12 6690
目录:0. 前面的一些基础知识,从中摘抄的一些。1.利用 fcgi_exp.go 攻击使用条件:2. 本地实验:2.利用 phith0n 大神的 fpm.py3.SSRF 中对 FPM/FastCGI 的攻击使用条件:2. 本地实验:4. FTP - SSRF 攻击 FPM/FastCGI 学习自:WHOAMI大佬的。 过程中有报错,也能够解决了。很棒很棒的教程。!!! 0. 前面的一些基础知识,从中摘抄的一些。 Fastcgi是一个通信协议,和HTTP协议一样,进行数据交换的一个通道。 默认php-fpm
XrayPOC插件
weixin_30872337的博客
09-05 2249
漏洞环境 https://www.vulnhub.com/ https://github.com/vulhub/vulhub https://github.com/QAX-A-Team/WeblogicEnvironment 启用、关闭命令 # 启用环境 docker-compose up -d 环境关闭 docker-compose down 查看 WEB 应用容器 root@...
CRLF
jji8877032的专栏
04-05 1790
CRLF:Carriage Retun Line Feed CRLF:回车换行   回车:回到当前行的最左边; 换行:另起一行
【漏洞预警】FFmpeg曝任意文件读取漏洞
fishmai的专栏
07-23 966
最近有白帽在HackerOne平台上报了ffmpeg漏洞,该漏洞利用ffmpeg的HLS播放列表处理方式,可导致本地文件曝光。 漏洞描述 6月24日,HackerOne平台名为neex的白帽子针对俄罗斯最大社交网站VK.com上报了该漏洞,并因此获得1000美元奖金。 ffmpeg可处理HLS播放列表,而播放列表中已知可包含外部文件的援引。neex表示他借由该特性,
创造tips的秘籍——PHP回调后门
weixin_34161064的博客
03-08 187
phith0n · 2015/07/20 10:580x00 前言最近很多人分享一些过狗过盾的一句话,但无非是用各种方法去构造一些动态函数,比如$_GET['func']($_REQUEST['pass'])之类的方法。万变不离其宗,但这种方法,虽然狗盾可能看不出来,但人肉眼其实很容易发现这类后门的。那么,我就分享一下,一些不需要动态函数、不用eval、不含敏感函数、免杀免拦截的一句话。有很多朋友...
360webscan检测脚本可绕过
IT技术宅-北方的刀郎
03-21 3890
360webscan检测脚本可绕过2014-05-27     我来说两句       作者:phith0n收藏    我要投稿这个漏洞暴露出一个细节问题,可能会影响很多cms。这个靠大家发掘了。 借用cmseasy中的360webscan来说明。 其中有一个白名单函数: ?12345678910111213141516171819202122232425262728293031323334353
xray网络安全工具
最新发布
06-01
Xray是一款功能强大的网络安全测试工具,支持各种类型的安全测试,包括Web应用程序测试、API测试、漏洞扫描等。Xray还提供了一些高级功能,如自动化测试、持续集成等,使其成为一款非常实用的安全测试工具。 具体来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

伍辰惟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值