今天我将向大家介绍一款强大的漏洞扫描工具——Xray,它不仅安装简便,而且操作简单,能够快速发现各种安全漏洞。喜欢的话,别忘了点赞和收藏!
特性亮点:
- 高速检测:Xray 的发包速度极快,漏洞检测算法高效。
- 广泛支持:无论是大型 OWASP Top 10 漏洞还是各种 CMS 框架,Xray 都能覆盖检测。
- 优质代码:Xray 的代码质量经过多层验证,保证了可靠性。
- 可定制性强:通过配置文件,用户可以根据需求灵活定制功能。
- 安全可靠:Xray 作为安全辅助评估工具,内置的 payload 和 POC 均无害,不构成安全威胁。
下载与安装:
Xray 跨平台支持,根据您的操作系统下载对应版本即可。请注意,Xray 并非开源软件。以 Kali 为例,您可以访问项目地址:Xray Releases
安装步骤:
- 下载对应版本,并使用 unzip 命令解压,获取 xray_linux_amd64 文件。
- 运行
./xray_linux_amd64
查看 Xray 的版本号。
使用代理模式进行漏洞扫描:
在代理模式下,Xray 扫描器作为中间人,记录流量并修改参数进行扫描。
生成 HTTPS 证书:
针对 HTTPS 网站,需要先生成证书。运行 ./xray_linux_amd64 genca
可生成 ca 证书,保存为 ca.crt
和 ca.key
两个文件。
配置浏览器代理:
与 Burp 类似,配置浏览器代理,端口随意设置。
启动代理:
编辑 config.yml
文件,添加目标域名至 mitm -> restriction -> hostname_allowed
。
开始扫描:
执行命令 ./xray_linux_amd64 webscan --listen 127.0.0.1:7777 --html-output xray-testphp.html
。
扫描报告与应用:
扫描完成后,您可以查看生成的扫描报告,对目标进行评估和修复。
对目标进行爬虫扫描:
执行命令 ./xray_linux_amd64 webscan --basic-crawler https://example.com/ --html-output xray-crawler-test.html
。
使用 Burp 与 Xray 进行联动:
在 Burp 中设置上游代理至 Xray 的监听地址,实现两者之间的联动。
暂无评论内容