文章目录
XRAY简介
xray 是一款功能强大的安全评估工具linux系统漏洞扫描,由多名经验丰富的一线安全从业者呕心打造而成linux系统漏洞扫描,主要特性有:
检测速度快:发包速度快; 漏洞检测算法高效。
支持范围广:大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。
代码质量高:编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高
代码可靠性。
高级可定制:通过配置文件暴露了引擎的各种参数小型linux系统嵌入式linux培训,通过修改配置文件可以极大的客制化功能。
安全无威胁:xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc均为无害化检查。
XRAY安装
Github项目地址:
Releases:
官方文档:
#/
XRAY使用 爬虫模式
xray.exe webscan --basic-crawler http://xxx.com/ --html-output xray-xxx.html
xray.exe ws --basic http://xxx.com/ --ho xray-xxx.html
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FfCby87t-32)()]
被动扫描 生成 ca 证书
xray.exe genca
开启监听
完整:xray.exe webscan --listen 127.0.0.1:7777 --html-output testphp.html
简化:xray.exe ws --listen 127.0.0.1:7777 --ho testphp.html
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Y6VbOtxa-34)()]
浏览器设置代理
访问网站自动探测漏洞
BurpSuite联动XRAY xray 开启端口监听
xray.exe ws --listen 127.0.0.1:9999 test3.html
burpsuite 设置
User options - connections - upstream proxy servers -add
通过burp suite 访问网站
xray自动探测漏洞
