xray 是一款功能强大的安全评估工具，主要特性有:

• 检测速度快。发包速度快; 漏洞检测算法高效。
• 支持范围广。大至 OWASP Top 10 通用漏洞检测，小至各种 CMS 框架 POC，均可以支持。
• 高级可定制。通过配置文件暴露了引擎的各种参数，通过修改配置文件可以极大的客制化功能。
• 安全无威胁。xray 定位为一款安全辅助评估工具，而不是攻击工具，内置的所有 payload 和 poc 均为无害化检查。

这里介绍一下xray的简单使用及各种联动

---

1. 使用基础爬虫爬取并对爬取的链接进行漏洞扫描

.\xray_windows_amd64.exe webscan --basic-crawler http://127.0.0.2 --html-output crawler.html

这会对目标网站进行站内连接的爬取并主动对其进行漏洞扫描

结果保存在输出的crawl.html中

可以看到它能够发送payload测试中该网页是否存在sql注入

---

2. 使用 HTTP 代理进行被动扫描

.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output sqlilabs.html

将浏览器代理设置为127.0.0.1:7777即可。这里主要介绍和burp、awvs进行联动

>与burp联动

在User-Options选项卡中设置上游代理

浏览器中设置burp的代理

当浏览器浏览目标页面时就能将数据传输到xray进行被动扫描

>与awvs联动

同样在设置target时添加http proxy即可

---

3. 仅扫描单个url，不使用爬虫

.\xray_windows_amd64.exe webscan --url http://127.0.0.2 --html-output single.html

Xray安全评估工具使用相关推荐

1. skipfish 主动扫描web安全评估工具

   有特征 开发语言:C语言 命令行扫描器 主动扫描web安全评估工具 谷歌开发 已经不再进行维护 重点关注web代码 通过两种方式进项扫描:1.字典枚举 2.递归爬网 优点:速度快.支持多路单线程,全异 ...

2. Drozer – Android APP安全评估工具（附测试案例）

   Drozer原名mercury,是一款不错的Android APP安全评估工具.现在有社区版/专业版两个版本. 具体的使用说明可以参考https://www.mwrinfosecurity.com/s ...

3. oracle dbsat数据库安全评估工具的使用

   提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一.DBSAT的概述 二.下载地址 三.使用步骤 前言 提示:这里可以添加本文要记录的大概内容: 随着数据泄露事件与日 ...

4. IOS APP安全评估工具 Snoop-it

   -- 转载于:https://www.cnblogs.com/tdcqma/p/5985195.html

5. Xray工具使用（一）

   xray简介 xray 是一款功能强大的安全评估工具,主要特性有: 检测速度快.发包速度快; 漏洞检测算法高效. 支持范围广.大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 PO ...

6. Xray和burpsuite联动被动扫描

   想挖点src又没啥思路,试着挂个自动漏扫工具xray,又看到能与burp联动实现自动扫就想尝试一下,搞好进自己网站测试了一下,的确是爬虫式漏扫,访问量属实大,不过自己设置设置还是一个很不错的工具. 安 ...

7. 渗透测试之信息搜集专题

   渗透测试全流程: 1.信息搜集: 1.获取域名whois信息(邮箱,电话,使用社工库查看泄露密码.尝试登录后台,邮箱-->搜索引擎查询--->社交账号,管理员生成密码的习惯,生成密码字典) ...

8. 渗透测试培训必会工具xray扫描器的使用（一）

   下载地址:链接:https://pan.baidu.com/s/1ExE0pgv9rz9NJBPNjIuMqg?pwd=k7m7 提取码:k7m7 本节使用linux版本的 xray1.9给大家做演示 ...

9. 工具----8、Xray漏洞扫描器

   文章目录 一.xray下载 二.xray安装.使用 一.xray下载 xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 1.检测速度快.发包速度快; 漏 ...

10. 世纪前线网络质量测试工具 是什么_上海控安发布汽车信息安全评估工具箱：一款标准化、自动化的安全测试工具...

    汽车网联化和智能化导致车载网络更为开放和复杂,面临着严峻的信息安全风险和挑战,汽车安全测试工作备受重视. 安全测试行业现状及痛点: • 工程师主要通过人为分析进行测试建模,对整车或零部件进行信息安全测 ...

最新文章

1. 是时候给2020年做个总结了
2. WebService技术
3. BeanUtils工具类，简化数据封装
4. webpack4-- 处理html中引入的图片
5. Dubbo启动时qos-server can not bind localhost:22222错误解决
6. (ios7) 解决代码布局View, ios7 中 subView 高度增加StatusBar20dp的问题，保证Ios6，ios7代码一致...
7. 一起学习C语言：函数(一)
8. c语言字符串型函数是,C语言字符/字符串相关函数收藏大全
9. Echarts数据可视化title标题，开发全解+完美注释
10. FoneDog Toolkit for Android如何从Android恢复丢失的文件
11. 一文理解全文搜索引擎（Lucene、Elasticsearch、Solr）、目录搜索引擎、元搜索引擎的异同
12. 教育企业邮箱购买哪个好用，还有英文邮件系统？
13. 〖Python零基础入门篇㊿〗- Python中的 sys 模块
14. Element UI 应用精讲
15. 语音识别数据集及性能评测指标WER
16. Git实战技巧-比较不同分支之间的差异和代码的改动
17. centos 7.6 戴尔服务器 安装HP LaserJet 1020 Plus 打印机驱动
18. 计算机文化基础（高职高专版 第十一版）第四章答案
19. 动作一键制作ps信号干扰故障效果
20. 浏览器群控android手机软件STF试玩

热门文章

1. 珍大户《认知世界的经济学》学习笔记 -- 第17课 影响消费者的因素，更新时间2021年03月18日21:53:57
2. 桌面的快捷方式图标异常
3. Preferences 是什么呢？
4. 吴恩达深度学习笔记——优化算法
5. 性能分析26-tomcat优化P61
6. 分页插件Kaminari
7. 小学计算机课题研究方案,小学语文课题研究方案
8. [快速学会Swift第三方库] SwiftyJSON篇
9. “TOP面对面” 技术AMA系列第一期：揭开TOP技术团队的神秘面纱
10. 大厂团队协作工具推荐