Web漏洞扫描器-Xray使用方法

已于 2022-11-14 15:21:47 修改
阅读量5.4k 收藏 10
点赞数 2
分类专栏: 渗透测试工具的使用 文章标签: 网络安全 web安全
于 2022-10-28 13:18:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68233961/article/details/127567205
版权

Web漏洞扫描器-Xray使用方法

X-ray的安装与简介

Xray简介

Xray扫描器是一款功能强大的安全评估工具。支持主动、被动多种扫描方式,支持常见web漏洞的自动化检测,可以灵活定义POC,功能丰富,调用简单,支持多种操作系统
优势:
1、检测速度快:由go语言编写,检测算法优秀
2、支持范围广:支持OWASP Top 10 通用漏洞检测
3、高级可定制:通过修改配置文件可以极大的定制化功能
4、安全无威胁:是安全辅助评估工具,内置的所有 payload 和 poc 均为无害化检查
5、更新速度快:作为一款漏扫工具,更新的速度很快

Xray安装

项目地址:https://github.com/chaitin/xray/
下载地址:https://github.com/chaitin/xray/releases
使用文档:https://docs.xray.cool/#/tutorial/introduce
下载完成之后,Windows的直接在xray所在的文件夹运行cmd就行了,linux的将下载好的文件粘贴到linux虚拟机中,然后在终端运行./文件名就行了

Xray使用

这边主要推荐查看使用文档https://docs.xray.cool/#/tutorial/introduce

使用代理模式的扫描

1、下载浏览器代理插件
2、使用命令.\xray.exe genca生成一个证书
3、在火狐或者谷歌浏览器里面导入这个证书,要添加信任,导入完成之后,添加代理,端口只要是空闲的都可以
4、在xray开启监听,输入命令xray.exe webscan --listen 127.0.0.1:6666,这个端口就是你之前代理的那个端口,如果想要输出结果的话,在后面加上 --html -output 1.html
5、在浏览器启用代理就行了
开启代理之后只要你点击一个网站,他就会去扫描,并生成一个html文件

使用爬虫模式的扫描

直接输入xray.exe webscan --basic-crawler 127.0.0.1 --html-output 2.html
--url扫描单个url地址

Xray+Burp的联动使用

Burp作为Xray的上级代理

浏览器 -> Xray -> burpsuite -> 服务器端
浏览器开启xray的代理
在这里插入图片描述
然后在xray的配置文件中将代理设置为burp的代理
在这里插入图片描述
然后开启burp,等待包的到来
使用方法就是xray开启监听。然后访问网站就行了

Xray作为Burp的上游代理

浏览器 -> burpsuite -> Xray -> 服务器端
浏览器开启burp的代理
在这里插入图片描述
然后如图所示,依次点击useroptions、add然后添加代理。这个端口就是xray监听的端口
在这里插入图片描述
xray就不需要设置代理了
然后就是访问网站,burp抓包,放包,xray测试,生成报告

安澈yykl
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
国产漏洞扫描Xray入门,详细教程
大河之犬的博客
08-11 436
检测速度快。发包速度快;漏洞检测算法效率高。支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以客制化功能。安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。
漏洞扫描工具xray+批量调用xray脚本
04-09
Xray是一款由国内团队编写的开源Web安全测试工具,主要用于检测和利用Web应用程序中的各种漏洞,包括SQL注入、XSS、CSRF、文件包含、文件上传等。它支持多种操作系统和架构,提供了GUI界面和命令行两种使用方式。 Xray的主要特点如下: 全自动化扫描:Xray可以进行全自动化的漏洞扫描,并自动执行漏洞利用过程。 分布式扫描:Xray支持多节点分布式扫描,可以快速处理大规模目标站点。 智能信息收集:Xray漏洞扫描前会对目标站点进行智能信息收集,以便更好地进行漏洞检测和利用。 多种漏洞利用方式:Xray提供多种漏洞利用方式,包括HTTP请求、JavaScript、SQL注入等,可以有效规避防御措施。 以下是Xray常用指令: xray webscan start:启动一个全新的Web漏洞扫描任务。 xray webscan stop:停止当前正在进行的Web漏洞扫描任务。 xray webscan config:配置Web漏洞扫描选项,例如设置代理服务、设置Cookie、设置扫描策略等。 xray webscan status:查看当前Web漏洞扫描任务的状态和进度。
Xray-基础详细使用
weixin_44431280的博客
07-04 8205
Xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,可支持与AWVS,BP等众多安全工具联合使用
Xray 漏洞扫描工具使用方法
m0_49936858的博客
08-22 3498
使用XRAY进行主动扫描和被动扫描(window) 下载地址: Github: https://github.com/chaitin/xray/releases 运行 xray 需要在 powershell 中,在 powershell 中 xray 可以对测试结果进行格式化输出,方便 我们查看分析。 ———————————————— 版权声明:本文为CSDN博主「盐茶Tea」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.n
xray工具保姆级的安装与使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
04-15 2543
提示:工具需要合理使用,读者使用不当与本作者无关,以下案例仅供参考。xray是一款辅助评估的扫描工具,不带有攻击。且支持 Windows / macOS / Linux 多种操作系统,本文中主要介绍他的安装以及使用
xray扫描使用 (长亭科技公司创造)
yyj1781572的博客
11-27 8533
xray扫描使用 xray是一款可以使用HTTP/HTTPS代理进行被动扫描的安全工具
xray常用命令
山兔的博客
05-26 2679
python xray.py
Xray 使用手册
m0_65267037的博客
04-16 1774
列出插件指定运行的插件,用逗号分隔指定运行的POC,用逗号分隔指定POC运行等级,用逗号分隔同上监听指定地址(如本地1111端口,需要提前在浏览或bp设置相应的代理)使用基本的爬虫爬取目标并扫错请求使用浏览爬虫爬取目标并扫错请求从本地文件中获取要扫描的URL并扫描,每行一个URL从bp导出的文件里读取请求作为目标扫描一个单一的URL通过POST方法发送数据字符串从文件中加载原始的http请求强制原始请求使用SSL/HTTPS输出以json格式输出xray报告。
漏洞扫描-Xray教程
m0_72125469的博客
06-04 6859
Xray漏扫工具:主动、被动盲打、POC。
Xray的安装与使用(超详细)
热门推荐
qq_45157535的博客
02-22 2万+
本文章主要描述了Xray工具的安装与使用,超详细版本。
Xray安装与使用
m0_61980779的博客
11-04 2048
Xray安装和使用
Xray-web漏洞扫描工具.zip
02-02
整体来看,扫描这类工具大致都是由三部分组成: 来源处理 漏洞检测 结果输出 来源处理 这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了四个入口,分别是 HTTP 被动代理 简易爬虫 单个 URL ...
laravel-view-xray:看一下您的Laravel视图
02-03
X射线-看一下Laravel视图 当您的Laravel项目增长时,Laravel视图也将增加。 有时可能很难弄清楚,输出HTML的哪一部分是使用哪个模板... 使用以下方法发布配置文件: php artisan vendor:publish --provider=BeyondCod
kaggle-vinbigdata-chest-xray-abnormalities-detection
04-05
阅读其他语言的解决方案摘要: , 代码概述准备数据集我的解决方案使用1024px调整大小的数据集。 您有两个选择。 下载原始数据集(约192 GB)并创建调整大小的数据集。 或下载已经制作的kaggle公开数据集(3.59 GB)...
漏洞挖掘进化论-推开xray之门.pdf
08-08
xray是什么 漏洞挖掘之JSONP JSONP 手动挖掘 漏洞挖掘的进化是从人工到自动化的过程 漏洞挖掘之JSONP自动化 JSONP检测-正则升级之路 漏洞挖掘的自动化依赖于优秀的检测算法 JSONP检测 - 语义分析 自动化检测既靠质量...
chest-xray-pneumonia-identification:使用EfficientNetB7
03-11
胸部X线肺炎的识别 使用EfficientNetB7
火狐配置使用xray漏洞扫描基础指南
qq_46145027的博客
06-02 2968
xray是一款非常好用的漏洞扫描,可以帮助我们扫描发现对应网站上的漏洞,下面以免费的社区版为例记录一下在火狐上的配置和使用的过程。
XRAY工具,安装与使用教程分享,新手都能看明白!!!
logic1001的博客
02-19 1176
提示:工具需要合理使用,读者使用不当与本作者无关,以下案例仅供参考。xray是一款辅助评估的扫描工具,不带有攻击。且支持 Windows / macOS / Linux 多种操作系统,本文中主要介绍他的安装以及使用
漏洞扫描工具——xray使用方法
初岄的博客
03-24 2844
漏洞扫描工具——xray使用方法
super-xray
09-28
super-xray是一个优秀的漏洞扫描工具,它是xray命令行版本的一个简单封装。它通过使用config.yaml配置文件来启动,并且在xray的规划中,未来会推出一个完善的GUI版本的工具XrayPro。你可以在以下链接找到super-xray项目的地址:https://github.com/4ra1n/super-xray。同时,你也可以在https://stack.chaitin.com/tool/detail?id=88找到更多关于super-xray的信息。如果你对该项目中存在的安全漏洞感兴趣,你可以在https://github.com/4ra1n/super-xray/security/advisories找到详细的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值