工具----8、Xray漏洞扫描器
文章目录
- 一、xray下载
- 二、xray安装、使用
一、xray下载
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:
1、检测速度快。发包速度快; 漏洞检测算法高效。
2、支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。
3、代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
4、高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
5、安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。
国内下载:https://download.xray.cool/:下载位置页面见下图1。
github下载:https://github.com/chaitin/xray:下载位置页面见下图2。
图1:
图2:
图3各个版本详解:
xray_linux_386.zip 为 linux 32 位系统使用;
xray_linux_arm64.zip 为 linux ARM 架构 64 位系统;
xray_linux_amd64.zip 为 linux 64 位系统使用;
xray_linux_arm.zip 为 linux ARM 架构 32 位系统,主要是手机、路由器、树莓派等;
xray_darwin_amd64.zip 为Mac 系统使用;
xray_darwin_arm64.zip 为Mac ARM架构系统使用;
xray_windows_386.exe.zip 为 windows 32 位机器使用;
xray_windows_amd64.exe.zip 为 windows 64 位机器使用;
图3:
二、xray安装、使用
详情可查看官方文档地址:https://docs.xray.cool/
xray 为单文件二进制文件,无依赖,也无需安装,下载后直接使用。
目前支持的漏洞检测类型包括:XSS漏洞检测 (key: xss)
SQL 注入检测 (key: sqldet)
命令/代码注入检测 (key: cmd-injection)
目录枚举 (key: dirscan)
路径穿越检测 (key: path-traversal)
XML 实体注入检测 (key: xxe)
文件上传检测 (key: upload)
弱口令检测 (key: brute-force)
jsonp 检测 (key: jsonp)
ssrf 检测 (key: ssrf)
基线检查 (key: baseline)
任意跳转检测 (key: redirect)
CRLF 注入 (key: crlf-injection)
Struts2 系列漏洞检测 (高级版,key: struts)
Thinkphp系列漏洞检测 (高级版,key: thinkphp)
POC 框架 (key: phantasm)
其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。
命令行下输入.\xray_windows_amd64.exe version
工具----8、Xray漏洞扫描器相关推荐
- Xray Web 扫描器学习随笔
目录 下载地址:https://github.com/chaitin/xray 简介 基础用法 ca证书 启用代理 开始扫描 使用xray基础爬虫模式进行漏洞扫描 使用xray进行服务扫描 下载地址: ...
- Nessus: 漏洞扫描器-网络取证工具
Nessue 要理解网络漏洞攻击,应该理解攻击者不是单独攻击,而是组合攻击.因此,本文介绍了关于Nessus历史的研究,它是什么以及它如何与插件一起工作.研究了Nessus的特点,使其成为网络取证中非 ...
- Xray 漏洞扫描工具使用方法
Xray 漏洞扫描工具使用方法 文章目录 Xray 漏洞扫描工具使用方法 申明:本文内容均在内网中进行,实验环境为自己服务器所搭建的DVWA靶场. 使用XRAY进行主动扫描和被动扫描(window) ...
- 10大Web漏洞扫描器
10大Web漏洞扫描器 美国最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如DDos),逐渐成为最严重.最广泛.危害性最大的安全问题.如华为.RSA.赛门铁克.联想ThinkPa ...
- 有了漏洞扫描器,如何用好?一点不成熟的小总结
有了漏洞扫描器,如何用好?一点不成熟的小总结 2017-02-09 18:09 程序设计 *本文原创作者:安惞,本文属FreeBuf原创奖励计划,未经许可禁止转载 昨天晚上做梦,梦见不知道在之前还是现 ...
- 谷歌开源漏洞扫描器“海啸”,专为大型企业服务
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 谷歌开源了一款漏洞扫描器,名为"海啸 (Tsunami)",专用于由数千个甚至是数百万个联网系统组成的大型企业网络 ...
- web漏洞扫描器原理_【技术分享】漏洞扫描技巧篇Web 漏洞扫描器
0x00 前言 之前 我们简单介绍了一下扫描器中爬虫的部分,接下来将继续介绍扫描器中一些我们认为比较有趣的技巧. 0x01 编码/解码/协议 在很久以前有人提问 AMF 格式的请求怎么进行检测,或者有 ...
- 网络安全-网站漏洞扫描器
网络安全-网站漏洞扫描器 网站漏洞扫描器是用来扫描对方网站可能存在哪些漏洞的工具,我们可以借助网站漏洞扫描器来当作辅助作用去检测对方网站的漏洞.下面我们来介绍一款常用.好用的漏洞扫描器–AWVS. A ...
- 渗透测试类型(白盒测试、黑盒测试)和漏洞扫描器
一.渗透测试类型 渗透测试分为两种基本类型:白盒测试和黑盒测试. 白盒测试:也被称为白帽测试,是指渗透测试者在拥有客户组织所有知识的情况下所进行的测试: 黑盒测试:模拟一个对客户组织一无所知的攻击者所 ...
最新文章
- java.util.concurrent BlockingQueue详解
- hadoop1.2.1安装配置
- Adaboost from Baidu
- JavaScript作用域闭包简述
- java集合框架03
- MySQL(8)数据库中的高级(进阶)正则和存储过程
- 送计算机教授教师节礼物,教师节送教授什么礼物好
- 测试人员如何使用浏览器的f12_测试过程中如何快速定位一个bug
- 【计算机网络复习】1.1.1 概念、组成、功能和分类
- 山东烟建借沟通CTBS实现财务数据大集中
- 数据结构题集第一章(严蔚敏)
- elasticsearch之 hdfs上的备份和还原操作
- EasyClick 原生UI教程
- Golang的基础数据类型
- Wordpress出现503 Service Temporarily Unavailable
- HeadFirstC笔记_7 高级函数:发挥函数的极限
- ImageLoader 图片异步加载类库的使用
- STM32中VU和U的区别
- TCP差分数据播发软件、RTK差分数据网络播发软件
- MBA案例分析(行销与营销之营销三)