xray漏扫工具学习。

最新推荐文章于 2024-04-21 00:48:00 发布
最新推荐文章于 2024-04-21 00:48:00 发布
阅读量1.1k 收藏
点赞数 2
文章标签: 学习 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51241304/article/details/124756119
版权

经过一下午的配置学习,总结一下。
本文主要记录一下自己的学习过程,文章仅供学习交流技术,切勿用于非法用途。学校和政府的网站切记不要碰。
1、xray的下载:如果有想要安装包的可以点个赞私信我,或者也可以去github下载。

2、xray配置:下载后解压到桌面,用cmd打开该文件,打开后需要产生证书才能用,产生证书命令:
.\xray_windows_386.exe genca
产生证书后打开,导入到受信任的根证书颁发机构
导入成功后就可以使用了。

3、xray的使用方法:它有两种经常使用的方法,一是可以直接命令行对网站进行扫描,或者设置浏览器代理,进行监听。第二个是设置burp的代理,可以一边开着burp一边扫描漏洞,并且还可以省去填写cookie的步骤。如果使用方法一的话还需要在配置文件中设置cookie。但是我只弄好了方法一。

4:浏览器代理使用:首先利用火狐的插件,设置监听端口 127.0.0.1:7777
设置后在cmd打开xray,输入以下命令:
.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output Burp.html

命令行出现starting mitm server at 127.0.0.1:7777
证明以及开始监听。可以尝试自己搭建的DVWA或者pikachu或者sqllabs进行扫描。切记不要未经授权扫描。如果扫描没反应、可以重新操作一遍。

以上是个人的一些经验、比较菜、还请大佬们赐教。另外感谢我的大佬朋友光亚。

千织的狗
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Xray捡洞中的高频漏洞
weixin_51725318的博客
09-11 181
Xray捡洞中的高频漏洞
【网安神器】Xray使用
过期的秋刀鱼
12-01 1183
如果用的是代理模式,只要浏览器是登录状态,那么漏洞扫描收到的请求也都是登录状态的请求。代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。爬虫模式是模拟人工去点击网页的链接,然后去分析扫描,和代理模式不同的是,爬虫不需要人工的介入,访问速度要快很多,但是也有一些缺点需要注意。在浏览器使用 https 协议通信的情况下,必须要得到客户端的信任,才能建立与客户端的通信。
xray漏洞扫描工具 详细用法
最新发布
m0_69043895的博客
04-21 1027
工具介绍xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:●检测速度快。发包速度快;漏洞检测算法效率高。●支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。●代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。●高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以客制化功能。●安全无威胁。
Xray-web漏洞扫描工具.zip
02-02
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 目前支持的漏洞检测类型包括: XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd_injection) 目录枚举 (key: dirscan) 路径穿越检测 (key: path_traversal) XML 实体注入检测 (key: xxe) 文件上传检测 (key: upload) 弱口令检测 (key: brute_force) jsonp 检测 (key: jsonp) ssrf 检测 (key: ssrf) 基线检查 (key: baseline) 任意跳转检测 (key: redirect) CRLF 注入 (key: crlf_injection) Struts2 系列漏洞检测 (高级版,key: struts) Thinkphp系列漏洞检测 (高级版,key: thinkphp) POC 框架 (key: phantasm) 其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。 设计理念 发最少的包做效果最好的探测。 如果一个请求可以确信漏洞存在,那就发一个请求。如果两种漏洞环境可以用同一个 payload 探测出来,那就 不要拆成两个。 允许一定程度上的误报来换取扫描速度的提升 漏洞检测工具无法面面俱到,在漏报和误报的选择上必然要选择误报。如果在使用中发现误报比较严重,可以进行反馈。 尽量不用时间盲注等机制检测漏洞。 时间检测受影响因素太多且不可控,而且可能会影响其他插件的运行。因此除非必要(如 sql)请尽量使用与时间无关的 payload。 尽量不使用盲打平台 如果一个漏洞能用回显检测就用回显检测,因为盲打平台增加了漏洞检测过程的不确定性和复杂性。 耗时操作谨慎处理 全局使用 Context 做管理,不会因为某个请求而导致全局卡死。 简易架构 了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置,方便大家更好的使用。 整体来看,扫描器这类工具大致都是由三部分组成: 来源处理 漏洞检测 结果输出 来源处理 这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了四个入口,分别是 HTTP 被动代理 简易爬虫 单个 URL URL列表的文件 单个原始 HTTP 请求文件 漏洞检测 这一部分是引擎的核心功能,用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件,配置扫描插件的参数,配置 HTTP 相关参数等。 结果输出 漏洞扫描和运行时的状态统称为结果输出,xray 定义了如下几种输出方式: Stdout (屏幕输出, 默认开启) JSON 文件输出 HTML 报告输出 Webhook 输出 使用教程见:xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 目前支持的漏洞检测类型包括: XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd_injection) 目录枚举 (key: dirscan) 路径穿越检测 (key: path_traversal) XML 实体注入检测 (key: xxe) 文件上传检测 (key: upload) 弱口令检测 (key: brute_force) jsonp 检测 (key: jsonp) ssrf 检测 (key: ssrf) 基线检查 (key: baseline) 任意跳转检测 (key: redirect) CRLF 注入 (key: crlf_injection) Struts2 系列漏洞检测 (高级版,key: struts) Thinkphp系列漏洞检测 (高级版,key: thinkphp) POC 框架 (key: phantasm) 其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。 设计理念 发最少的包做效果最好的探测。 如果一个请求可以确信漏洞存在,那就发一个请求。如果两种漏洞环境可以用同一个 payload 探测出来,那就 不要拆成两个。 允许一定程度上的误报来换取扫描速度的提升 漏洞检测工具无法面面俱到,在漏报和误报的选择上必然要选择误报。如果在使用中发现误报比较严重,可以进行反馈。 尽量不用时间盲注等机制检测漏洞。 时间检测受影响因素太多且不可控,而且可能会影响其他插件的运行。因此除非必要(如 sql)请尽量使用与时间无关的 payload。 尽量不使用盲打平台 如果一个漏洞能用回显检测就用回显检测,因为盲打平台增加了漏洞检测过程的不确定性和复杂性。 耗时操作谨慎处理 全局使用 Context 做管理,不会因为某个请求而导致全局卡死。 简易架构 了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置,方便大家更好的使用。 整体来看,扫描器这类工具大致都是由三部分组成: 来源处理 漏洞检测 结果输出 来源处理 这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了四个入口,分别是 HTTP 被动代理 简易爬虫 单个 URL URL列表的文件 单个原始 HTTP 请求文件 漏洞检测 这一部分是引擎的核心功能,用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件,配置扫描插件的参数,配置 HTTP 相关参数等。 结果输出 漏洞扫描和运行时的状态统称为结果输出,xray 定义了如下几种输出方式: Stdout (屏幕输出, 默认开启) JSON 文件输出 HTML 报告输出 Webhook 输出
xray 被动_xray一款强大的web漏扫工具
weixin_42469749的博客
01-10 829
Xray是长亭6月份放出的漏扫工具,个人感觉比其他扫描器要好用一些,支持被动扫描和主动扫描,操作方便。这里演示下被动扫描的步骤。首先是环境准备,直接从下面链接下载最新版本的xray网盘下载链接:https://yunpan.360.cn/surl_y3Gu6cugi8uGithub 链接:https://github.com/chaitin/xray/releases这里下载wind...
xray使用&实现自动漏扫
cike_y
04-25 1270
一次记录漏洞扫描工具的简单使用
漏扫工具-xray 1.9.10(文末附下载)
公众号:乌云安全
05-18 1145
如需扫描 https 流量,请阅读下方文档 抓取 https 流量 部分。「xray1.9.10」,点击即可保存。打开「夸克APP」查看。1.使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描。一款功能强大的安全评估工具
漏洞扫描器 XRAY
HAKUNAMATATATTA的博客
11-27 4592
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:检测速度快:发包速度快;漏洞检测算法高效。支持范围广:大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。代码质量高:编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。高级可定制:通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
2023xray漏洞测试工具
02-27
《2023xray漏洞测试工具详解》 在网络安全领域,漏洞测试是保障系统安全的重要环节。2023xray漏洞测试工具以其高效、全面的特性,成为了安全从业者和研究人员的得力助手。本文将详细介绍这款工具的背景、功能、使用...
xray自动扫描工具.zip
10-06
Xray是一款广泛应用于网络安全检测和渗透测试的自动化扫描工具,主要功能是发现并评估系统漏洞。这个名为"xray自动扫描工具.zip"的压缩包包含了在Windows AMD64平台上运行的Xray扫描器的可执行文件(xray_windows_...
xray安装包,包括爬虫脚本
03-01
Xray是一款功能强大的Web安全检测工具,主要用于网络漏洞扫描和安全评估。它是由国内安全社区开发的一款开源项目,因其高效、全面的扫描能力和灵活的定制性,在网络安全领域中备受推崇。"xray安装包,包括爬虫脚本...
Xray安全评估工具.zip
04-28
Xray安全评估工具:深度解析与应用指南》 Xray是一款备受瞩目的安全评估工具,主要用于Web渗透测试,其强大的功能和高效性在IT安全领域内得到了广泛的认可。本篇文章将深入探讨Xray的核心特性、使用方法以及相关...
全版本xray漏洞扫描工具
07-02
Xray 社区是长亭科技推出的免费白帽子工具平台,目前社区有xray 漏洞扫描器 和Radium 爬虫工具,均有多名经验丰富的安全开发人员和数万名社区贡献者共同打造而成。
常规漏洞检测工具-xray(三)
siu~
08-03 287
xray 是一款功能强大的安全评估工具
漏扫工具xray】简介、下载、使用步骤、命令指南、导入安全证书
05-15 5902
漏扫工具XRAY使用
漏扫工具Xray安装部署详细教程
m0_73896875的博客
03-22 661
--listen 127.0.0.1:9258 监听127.0.0.1的7070端口(127.0.0.1是本机回环地址,端口可以任意一个空闲端口)下载解压完成后发现只有一个相应的.exe文件,这时还没初始化,直接在该文件夹打开cmd执行该文件(注意不要双击执行)会发现出现一行红字,初始化完成。但是由于该扫描模式下在配置代理的浏览器内是无论点到什么页面都会扫描的,容易产生误扫。设置->隐私与安全->查看证书->导入->信任此证书颁发机构来标识的网站->确定。#--html是输出的格式。
xray:漏洞扫描利器
zkaqlaoniao的博客
11-07 4149
长亭科技旗下的一款网络安全漏洞扫描工具,用于检测和评估web应用程序的安全性。具有一下特点:检测速读快、检查范围广、代码质量高、高级可定制以及安全无危害。属于不开源的项目,用户直接下载xray的可执行文件,即可运行该工具xray使用了与burpsuit一样的盈利模式:社区版、高级版和企业版XSS漏洞检测 (key: xss)SQL 注入检测 (key: sqldet)命令/代码注入检测 (key: cmd-injection)目录枚举 (key: dirscan)
探针漏洞_长亭xray:一款自动化Web漏洞扫描神器(免费社区版)
weixin_36212493的博客
01-12 2135
xray 简介xray 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。https://www.zhihu.com/video/1145001352550928384特色使用 go 语言编写,...
如何用xray扫描漏洞
m0_73451082的博客
07-25 638
另外起一个命令框也是在在你安装xray的根目录下调出在里面输入xray_windows_amd64.exe webscan --basic-crawler http://127.0.0.1/pikachu/ --html-output pikachu.html。在你安装xray的根目录下调出命令框然后在输入xray_windows_amd64.exe webscan --listen 127.0.0.1:8800 --html-output v.html。以下是扫描成功的样子。
漏扫工具xray下载
09-07
漏扫工具xray是一款专业的Web应用漏洞扫描器,可以帮助开发人员和安全研究人员识别并修补Web应用程序中的漏洞。下面是关于xray如何下载的相关信息。 首先,你可以通过访问xray官方网站来下载xray漏扫工具。在官网的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值