Web自动化漏洞检测工具:Xray

最新推荐文章于 2024-07-22 10:02:26 发布
最新推荐文章于 2024-07-22 10:02:26 发布
阅读量2.8k 收藏 11
点赞数 8
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zizizizizi_/article/details/109162945
版权

**

Web自动化漏洞检测工具:Xray

**
下载地址:
https : //github.com/chaitin/xray/releases

Xray是一款功能强大的安全评估工具,有以下特性:

1.检测速度快。发包速度快; 漏洞检测算法高效。
支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。
2.代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
3.高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
4.安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。

支持的漏洞检测类型
在这里插入图片描述在这里插入图片描述

一. 安装与配置流程

1.下载Xray

以windows下载为例,为了方便操作修改文件名为xray.exe在这里插入图片描述在这里插入图片描述2. 打开cmd终端
在这里插入图片描述
在地址栏输入 cmd
在这里插入图片描述
输入命令:xray.exe version 查看版本号

在这里插入图片描述
输入 -h命令查看帮助信息:
命令:xray.exe -h

在这里插入图片描述
查看webscan帮助信息:
命令:xray.exe webscan -h

在这里插入图片描述
3. 生成证书

命令:xray.exe genca 生成证书文件

在这里插入图片描述

进入xray目录下,双击安装证书ca

在这里插入图片描述
接下来安装证书步骤

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述
4. 进行代理模式的扫描配置

修改配置文件:打开config文件>>ctrl+f搜索mitm关键词>>配置目标站>>设置目标

在这里插入图片描述在这里插入图片描述
二. webscan对网站进行漏洞扫描

1.需要在浏览器中设置代理:
ip: 127.0.0.1 端口:7777;
将检测结果输出到我们定义的html格式文件里:

xray.exe webscan --listen 127.0.0.1:7777 --html-output test.html

Xray使用方法以DVWA靶场为例

xray.exe webscan --basic-crawler http://127.0.0.1/DVWA/index.php --html-output test.html

首先我们打开DVWA靶场,挂上代理>>抓包>>将DVWA登陆页面的数据包中的cookie复制到我们的Xray扫描工具中

在这里插入图片描述
然后我们进入Xray扫描工具的配置文件中,将cookie导入配置文件

在这里插入图片描述
然后使用命令:xray.exe webscan --basic-crawler http://127.0.0.1/DVWA/index.php
对dvwa靶场进行漏洞扫描

在这里插入图片描述
由于结果图片过多就不截图了

检测结果输出到我们定义的html格式文件中:

输入命令:xray.exe webscan --basic-crawler http://127.0.0.1/DVWA/index.php --html-output 1.html

在这里插入图片描述
指定扫描插件:

使用 --plugins 参数可以选择仅启用部分扫描插件,多个插件之间可使用逗号分隔,如:

xray webscan --plugins cmd_injection --url http://example.com/

使用基础爬虫爬取或爬虫爬取的链接进行细分扫描:

xray.exe webscan --basic-crawler http://example.com

总结:

1.ctrl + c命令退出;

2.如果生成的结果报告显示已经存在,可删除文件夹报告文件,重新生成也可更改报告文件名称进行重新生成;

3.浏览器打开我们在config.yaml配置文件设置的目标站,就会自动进行扫描测试;

4.中途终止不会生成报告;

在这里插入图片描述

参考博客
https://blog.csdn.net/weixin_46700042/article/details/109084340

少说话多办事zsq
关注
专栏目录
常用Web漏洞扫描工具汇总
桀骜不逊
03-12 5903
转载自: http://fairysoftware.com/web_lou_dong_sao_miao. html 1、AWVS,国外商业收费软件,据了解一个License一年费用是2万多RMB。可见总体漏洞扫描概况,也可导出报告,报告提供漏洞明细说明、漏洞利用方式、修复建议。缺点是限制了并行扫描的网站数。 2、OWASP Zed(ZAP),来自OWASP项目组织的开源免费工具,提供漏洞扫描、爬虫、Fuzz功能,该工具已集成于Kali Linux系统。 3、Nikto,一款开源软件,不仅可用于扫描发现网.
Acunetix Web Vulnerability Scanner( 简称AwVS )是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测
05-03
Acunetix Web Vulnerability Scanner[( 简称AwVS )是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。 a)、自动的客户端脚本分析器,允许对Ajax和Web 2.0应用程序进行安全性测试 b)、业内最先进且深入的SQL 注入和跨站脚本测试 c)、级渗透测试工具,例如HTTP Editor 和HTTP Fuzzer d)、可视化宏记录器帮助您轻松测试web表格和受密码保护的区域 e)、支持含有CAPTHCA的页面,单个开始指令和Two Factor (双因素)验证机制 f)、丰富的报告功能,包括VISA PCI依从性报告 h)、速的多线程扫描器轻松检索成千上万个页面 i)、智能爬行程序检测web服务器类型和应用程序语言 j)、Acunetix检索并分析网站,包括flash内容、SOAP 和AJAX k)、端口扫描web服务器并对在服务器上运行的网络服务执行安全检查 1)、可导出网站漏洞文件
移动APP漏洞自动化检测平台建设
jimmyleeee的专栏
09-22 7090
前言:本文是《移动APP客户端安全笔记》系列原创文章中的第一篇,主要讲的是企业移动APP自动化漏洞检测平台建设,移动APP漏洞检测发展史与前沿技术,APP漏洞检测工具与平台,以及笔者的一些思考。希望能对移动App自动化漏洞检测感兴趣的同学有所帮助,限于笔者技术水平与文章篇幅,有些内容暂没有逐一详细分析,后续我争取多学习多分享,在此也欢迎大家指点和交流。 一、国内Android App漏洞检测发展
xray工具保姆级的安装与使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
2401_84618514的博客
07-22 1172
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
Web漏洞扫描工具有哪些?使用教程讲解
白帽子凯哥聊黑客
12-09 2687
作为网络安全工程师,了解并掌握各种Web漏洞扫描工具对于识别和防御网络威胁至关重要。以下是一些常用且广受推崇的Web漏洞扫描工具,它们覆盖了从自动扫描到深度定制的各种需求。希望你能用得到呢。
张氏web漏洞检查工具
10-03
本软件使用eclipse开发,实现了使用通配符生成url后穷举检查所有url是否可用的功能。通过检查web应用的url是否返回200或500,达到黑盒测试web应用是否存在安全泄漏的问题。本软件由北京师范大学2000级(2004届)计算机系张人杰开发,任何改版发布请注明原作者信息。 2015.10.03 张人杰
Web 程序 SQL 漏洞检测工具.zip
09-25
Web 程序 SQL 漏洞检测工具.zip,SQL漏洞扫描程序
漏洞扫描工具xray+批量调用xray脚本
04-09
自动化扫描:Xray可以进行全自动化漏洞扫描,并自动执行漏洞利用过程。 分布式扫描:Xray支持多节点分布式扫描,可以快速处理大规模目标站点。 智能信息收集:Xray漏洞扫描前会对目标站点进行智能信息收集,...
xray-web自动扫描漏洞安全软件
04-16
Xray-WEB自动化漏洞扫描安全软件详解》 在当今数字化时代,网络安全成为了企业和个人都极为关注的问题。其中,Web安全作为互联网应用的基础,更是安全防护的重中之重。Xray-WEB自动扫描漏洞安全软件,正是为了...
2023xray漏洞测试工具
02-27
1. 多模态扫描:xray支持多种扫描模式,包括半自动化、全自动化以及定制化的扫描方式,以适应不同的测试需求和场景。 2. 漏洞库更新:xray与最新的漏洞数据库保持同步,能够及时发现最新的安全威胁,为用户提供及时...
漏洞挖掘fofa+xray
09-25
xray则是一款功能强大的安全评估工具,它集成了多种漏洞检测模块,支持对Web应用程序进行深度扫描,包括但不限于SQL注入、XSS跨站脚本、命令注入、文件包含等多种常见漏洞xray的强大之处在于其灵活的配置和度的...
Vulpecker:自动化漏洞检测系统
03-11
VulPecker:基于代码相似性分析的自动漏洞检测系统 漏洞修补程序数据库(VPD)包含CVE-ID和差异之间的映射。 统一的差异由一系列差异块组成。 每个块均包含更改后的文件名以及一系列添加和删除。 添加的源代码行以“ +”符号为前缀,删除的情况以“-”符号为前缀。 漏洞代码实例数据库(VCID)包含许多具有相同漏洞的功能组,并且涉及各种代码重用类型。 VPD包含19种C / C ++开源软件(Linux内核,Firefox,Thunderbird,Seamonkey,Fixfox esr,Thunderbird esr,Wireshark,Ffmpeg,Apache Http Server,Xen,OpenSSL,Qemu,Libav,Asterisk,Cups,Freetype,Gnutls, Libvirt,VLC媒体播放器)具有1,761个漏洞,涉及3,454个差异块,并且
征服世界的梦!!Web常见漏洞安全测试工具
wodafa的博客
05-08 1471
好东西要懂得分享哦!,如果你身边有适合的朋友也可以推荐给我们,这里有诚意满满的讲师推荐现金奖励在等着你!奖金池10万!(此处强烈鼓掌)速来占坑呀~
10大Web漏洞扫描工具
weixin_30407099的博客
06-20 9039
Web scan tool 推荐10大Web漏洞扫描程序 Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。 Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。...
常见的Web漏洞扫描分析工具
巴胡子
10-03 4385
常见的Web漏洞扫描分析工具: (1)Acunetix Web Vulnerability Scanner(简称awvs) 是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,监测流行安全漏洞。 其推出力一个可以进行漏洞测试的网站: http://test.vulnweb.com 功能: 网站爬行、漏洞扫描、目标发现、子域名扫描、http编辑、http模糊测试、认证测试、网络服务扫描器、...
xray漏洞扫描利器
zkaqlaoniao的博客
11-07 5057
长亭科技旗下的一款网络安全漏洞扫描工具,用于检测和评估web应用程序的安全性。具有一下特点:检测速读快、检查范围广、代码质量级可定制以及安全无危害。属于不开源的项目,用户直接下载xray的可执行文件,即可运行该工具xray使用了与burpsuit一样的盈利模式:社区版、级版和企业版XSS漏洞检测 (key: xss)SQL 注入检测 (key: sqldet)命令/代码注入检测 (key: cmd-injection)目录枚举 (key: dirscan)
2019年WEB漏洞扫描工具和软件前十名推荐
BRAVE MAN的博客
11-18 4083
这些工具都有助于发现漏洞,从而最大限度地提测试人员的时间和效率。这些工具,2019年更新,也可用于寻找漏洞。 为何扫描? 这资源是什么?Web应用程序对黑客具有极大的吸引力,并且出于百万种不同的原因,尤其是因为当它们管理不当和未修补时,它们突然变得非常容易攻击。我们在这个资源中所做的就是列出一堆能够渗透并点击网站的Web应用程序黑客软件(例如)。按优先顺序,我们注意到这些是当今最流行的内容...
这张学习路线图,涵盖Web安全所有知识点,网安小白快拿走
yz_weixiao的博客
01-13 472
相信你都能从中学到新的知识。
Xray正向及反向漏洞检测
m0_55854679的博客
12-25 2034
xray 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。全程使用无害 POC 进行探测,在确保能发现漏洞的基础上不会给业务带来严重影响,非常适用于企业内部安全建设;命令行式的免费被动扫描工具;
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

少说话多办事zsq

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值