文章目录
- 一、xray下载
- 二、xray安装、使用
一、xray下载
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:
1、检测速度快。发包速度快; 漏洞检测算法高效。
2、支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。
3、代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
4、高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
5、安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。
国内下载
:https://download.xray.cool/:下载位置页面见下图1。github下载
:https://github.com/chaitin/xray:下载位置页面见下图2。
图1:
图2:
图3各个版本详解:
xray_linux_386.zip 为 linux 32 位系统使用;
xray_linux_arm64.zip 为 linux ARM 架构 64 位系统;
xray_linux_amd64.zip 为 linux 64 位系统使用;
xray_linux_arm.zip 为 linux ARM 架构 32 位系统,主要是手机、路由器、树莓派等;
xray_darwin_amd64.zip 为Mac 系统使用;
xray_darwin_arm64.zip 为Mac ARM架构系统使用;
xray_windows_386.exe.zip 为 windows 32 位机器使用;
xray_windows_amd64.exe.zip 为 windows 64 位机器使用;
图3:
二、xray安装、使用
详情可查看官方文档地址
:https://docs.xray.cool/
xray 为单文件二进制文件,无依赖,也无需安装,下载后直接使用。
目前支持的漏洞检测类型包括:
XSS漏洞检测 (key: xss)
SQL 注入检测 (key: sqldet)
命令/代码注入检测 (key: cmd-injection)
目录枚举 (key: dirscan)
路径穿越检测 (key: path-traversal)
XML 实体注入检测 (key: xxe)
文件上传检测 (key: upload)
弱口令检测 (key: brute-force)
jsonp 检测 (key: jsonp)
ssrf 检测 (key: ssrf)
基线检查 (key: baseline)
任意跳转检测 (key: redirect)
CRLF 注入 (key: crlf-injection)
Struts2 系列漏洞检测 (高级版,key: struts)
Thinkphp系列漏洞检测 (高级版,key: thinkphp)
POC 框架 (key: phantasm)
其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。
命令行下输入.\xray_windows_amd64.exe version