漏洞扫描神器Xray,从入门到使用

在网络安全发展史上 , 有一个话题闪闪发亮 , 它就是安全工具 。几十年来 , 安全工具的交替演进为网络安全进化历史中增添了不少色彩 , 其中漏洞扫描工具也愈发突出 。
随着Web业务的急速膨胀 , 业务模块更新速率明显增快 , 传统扫描方案执行速度慢、效率低下的问题日益凸显 , 这时 , 自动化扫描工具开始广泛应用 。
比如长亭的Xray , 这个国内首个由原班人马从商业产品中脱胎出来的免费漏洞扫描工具 。
截自长亭官网 , 侵删
Xray的出现填补的是国内漏洞扫描工具的一项空白 , 它的诞生是偶然 , 也是必然 。
它不仅解决了传统扫描工具CPU占用问题 , 还降低了安全测试对生产环境带来的风险 , 降低组件类漏洞误报率 , 给网络安全工作者降低了工作负担 。
换句话说 , “xray可能不是功能最强悍的漏洞扫描器 , 但是它应该是目前市面上最了解白帽黑客需求的免费扫描工具 。”
这也是为什么我们倡导每一位安全人员都应该认真学习Xray 。
不过在安装和使用Xray时 , 大家都会遇到各种问题 , 今天就简单介绍一下Xray 。
Xray是一款功能强大的安全评估工具 , 由多名经验丰富的一线安全专家打造而成 , 主要特性有:
1:检测速度快 。发包速度快、漏洞检测算法效率高 。
【漏洞扫描神器Xray,从入门到使用】2:支持范围广 。大至OWASP TOP 10 通用漏洞检测 , 小至各种CMS框架POC , 均可以支持 。
3:代码质量高 。编写代码的人员素质高 , 通过code 、单元测试、集成测试登多层验证来提高代码可靠性 。
4:高级可定制 。通过配置文件暴露了引擎的各种参数 , 通过修改配置文件可以客制化功能 。
5:安全无威胁 。Xray定位为一款安全辅助评估工具 , 而不是攻击工具 , 内置的所有和poc均为无害化检查 。
Xray是一款自动化扫描工具 , 打开浏览器挂上代理 , 然后上网冲浪等漏洞就对了 。
工具功能

漏洞扫描神器Xray,从入门到使用

文章插图
新的检测模块将不断添加
利用语义分析的方式检测XSS漏洞
支持报错注入、布尔注入和时间盲注等
支持 shell 命令注入、PHP 代码执行、模板注入等
检测备份文件、临时文件、debug 页面、配置文件等10余类敏感路径和文件
支持常见平台和编码
支持有回显和反连平台检测
默认内置部分常用的 poc , 用户可以根据需要自行构建 poc 并运行 。
支持常见的后端语言