宣传一下我们的社区版扫描器 长亭-xray

先上链接

下载 https://github.com/chaitin/xray （ binary 下载、poc 和文档，非开源）

文档 https://chaitin.github.io/xray/#/tutorial/introduce

介绍

xray 是一款功能强大的安全评估工具，由多名经验丰富的一线安全从业者呕心打造而成，主要特性有:

• 检测速度快。发包速度快，漏洞检测算法高效。
• 支持范围广。大至 OWASP Top 10 通用漏洞检测，小至各种 CMS 框架 POC，均可以支持。
• 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
• 高级可定制。通过配置文件暴露了引擎的各种参数，通过修改配置文件可以极大的客制化功能。
• 安全无威胁。xray 定位为一款安全辅助评估工具，而不是攻击工具，内置的所有 payload 和 poc 均为无害化检查。

模块列表

目前支持的漏洞检测类型包括:

• XSS 漏洞检测

  特色插件，基于网页语义分析，不需要发送 payload 到服务端，天然绕 waf

• POC 框架

  特色插件，支持 yaml 格式的自定义 poc 和表达式，规范但是不失灵活性，Github 上贡献 poc 还有奖励

• SQL 注入检测

• 命令 /代码 /模板注入检测

• 目录枚举

• 路径穿越检测

• XML 实体注入检测

• 文件上传检测

• 弱口令检测

• jsonp 检测

• ssrf 检测

• 基线检查

• 任意跳转检测

• CRLF 注入

• Struts2 系列漏洞检测 (高级版)

• Thinkphp 系列漏洞检测 (高级版)

其他

目前支持的扫描模式有

• 基础爬虫
• http 代理
• 单个 url、原始请求等偏调试的入口

xray 同时自带了反连平台等实用工具，在日常安全测试中也是很有帮助的，可以参考这里