Xray安全评估工具使用
xray 是一款功能强大的安全评估工具,主要特性有:
- 检测速度快。发包速度快; 漏洞检测算法高效。
- 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。
- 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
- 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。
这里介绍一下xray的简单使用及各种联动
1. 使用基础爬虫爬取并对爬取的链接进行漏洞扫描
.\xray_windows_amd64.exe webscan --basic-crawler http://127.0.0.2 --html-output crawler.html
这会对目标网站进行站内连接的爬取并主动对其进行漏洞扫描
结果保存在输出的crawl.html
中
可以看到它能够发送payload测试中该网页是否存在sql注入
2. 使用 HTTP 代理进行被动扫描
.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output sqlilabs.html
将浏览器代理设置为127.0.0.1:7777
即可。这里主要介绍和burp
、awvs
进行联动
>与burp联动
在User-Options选项卡中设置上游代理
浏览器中设置burp的代理
当浏览器浏览目标页面时就能将数据传输到xray进行被动扫描
>与awvs联动
同样在设置target时添加http proxy即可
3. 仅扫描单个url,不使用爬虫
.\xray_windows_amd64.exe webscan --url http://127.0.0.2 --html-output single.html
Xray安全评估工具使用相关推荐
- skipfish 主动扫描web安全评估工具
有特征 开发语言:C语言 命令行扫描器 主动扫描web安全评估工具 谷歌开发 已经不再进行维护 重点关注web代码 通过两种方式进项扫描:1.字典枚举 2.递归爬网 优点:速度快.支持多路单线程,全异 ...
- Drozer – Android APP安全评估工具(附测试案例)
Drozer原名mercury,是一款不错的Android APP安全评估工具.现在有社区版/专业版两个版本. 具体的使用说明可以参考https://www.mwrinfosecurity.com/s ...
- oracle dbsat数据库安全评估工具的使用
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一.DBSAT的概述 二.下载地址 三.使用步骤 前言 提示:这里可以添加本文要记录的大概内容: 随着数据泄露事件与日 ...
- IOS APP安全评估工具 Snoop-it
-- 转载于:https://www.cnblogs.com/tdcqma/p/5985195.html
- Xray工具使用(一)
xray简介 xray 是一款功能强大的安全评估工具,主要特性有: 检测速度快.发包速度快; 漏洞检测算法高效. 支持范围广.大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 PO ...
- Xray和burpsuite联动被动扫描
想挖点src又没啥思路,试着挂个自动漏扫工具xray,又看到能与burp联动实现自动扫就想尝试一下,搞好进自己网站测试了一下,的确是爬虫式漏扫,访问量属实大,不过自己设置设置还是一个很不错的工具. 安 ...
- 渗透测试之信息搜集专题
渗透测试全流程: 1.信息搜集: 1.获取域名whois信息(邮箱,电话,使用社工库查看泄露密码.尝试登录后台,邮箱-->搜索引擎查询--->社交账号,管理员生成密码的习惯,生成密码字典) ...
- 渗透测试培训必会工具xray扫描器的使用(一)
下载地址:链接:https://pan.baidu.com/s/1ExE0pgv9rz9NJBPNjIuMqg?pwd=k7m7 提取码:k7m7 本节使用linux版本的 xray1.9给大家做演示 ...
- 工具----8、Xray漏洞扫描器
文章目录 一.xray下载 二.xray安装.使用 一.xray下载 xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 1.检测速度快.发包速度快; 漏 ...
- 世纪前线网络质量测试工具 是什么_上海控安发布汽车信息安全评估工具箱:一款标准化、自动化的安全测试工具...
汽车网联化和智能化导致车载网络更为开放和复杂,面临着严峻的信息安全风险和挑战,汽车安全测试工作备受重视. 安全测试行业现状及痛点: • 工程师主要通过人为分析进行测试建模,对整车或零部件进行信息安全测 ...
最新文章
- 是时候给2020年做个总结了
- WebService技术
- BeanUtils工具类,简化数据封装
- webpack4-- 处理html中引入的图片
- Dubbo启动时qos-server can not bind localhost:22222错误解决
- (ios7) 解决代码布局View, ios7 中 subView 高度增加StatusBar20dp的问题,保证Ios6,ios7代码一致...
- 一起学习C语言:函数(一)
- c语言字符串型函数是,C语言字符/字符串相关函数收藏大全
- Echarts数据可视化title标题,开发全解+完美注释
- FoneDog Toolkit for Android如何从Android恢复丢失的文件
- 一文理解全文搜索引擎(Lucene、Elasticsearch、Solr)、目录搜索引擎、元搜索引擎的异同
- 教育企业邮箱购买哪个好用,还有英文邮件系统?
- 〖Python零基础入门篇㊿〗- Python中的 sys 模块
- Element UI 应用精讲
- 语音识别数据集及性能评测指标WER
- Git实战技巧-比较不同分支之间的差异和代码的改动
- centos 7.6 戴尔服务器 安装HP LaserJet 1020 Plus 打印机驱动
- 计算机文化基础(高职高专版 第十一版)第四章答案
- 动作一键制作ps信号干扰故障效果
- 浏览器群控android手机软件STF试玩