V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
virusdefender
V2EX  ›  推广

宣传一下我们的社区版扫描器 长亭-xray

  •  1
     
  •   virusdefender · 2019-11-29 17:29:18 +08:00 · 553 次点击
    这是一个创建于 1812 天前的主题,其中的信息可能已经有所发展或是发生改变。

    先上链接

    下载 https://github.com/chaitin/xray ( binary 下载、poc 和文档,非开源)

    文档 https://chaitin.github.io/xray/#/tutorial/introduce

    介绍

    xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:

    • 检测速度快。发包速度快,漏洞检测算法高效。
    • 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。
    • 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
    • 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
    • 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。

    模块列表

    目前支持的漏洞检测类型包括:

    • XSS 漏洞检测

      特色插件,基于网页语义分析,不需要发送 payload 到服务端,天然绕 waf

    • POC 框架

      特色插件,支持 yaml 格式的自定义 poc 和表达式,规范但是不失灵活性,Github 上贡献 poc 还有奖励

    • SQL 注入检测

    • 命令 /代码 /模板注入检测

    • 目录枚举

    • 路径穿越检测

    • XML 实体注入检测

    • 文件上传检测

    • 弱口令检测

    • jsonp 检测

    • ssrf 检测

    • 基线检查

    • 任意跳转检测

    • CRLF 注入

    • Struts2 系列漏洞检测 (高级版)

    • Thinkphp 系列漏洞检测 (高级版)

    其他

    目前支持的扫描模式有

    • 基础爬虫
    • http 代理
    • 单个 url、原始请求等偏调试的入口

    xray 同时自带了反连平台等实用工具,在日常安全测试中也是很有帮助的,可以参考这里

    目前尚无回复
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3131 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 13:57 · PVG 21:57 · LAX 05:57 · JFK 08:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.