Sebuah alat evaluasi keamanan yang kuat
🏠Dokumentasi Pengguna
⬇️Alamat Unduh untuk Pengguna di Indonesia
⬇️Alamat Unduh di GitHub
Catatan: xray tidak bersifat open source, cukup unduh file biner yang telah dibangun. Repositori ini terutama berisi poc yang dikontribusikan oleh komunitas, dan setiap rilis xray akan di-packing secara otomatis.
Untuk mengatasi masalah kompleksitas dan keterlaluan xray 1.0 dalam proses peningkatan fungsionalitas, kami memperkenalkan xray 2.0.
Versi baru ini bertujuan untuk meningkatkan kelancaran penggunaan fitur, mengurangi ambang batas penggunaan, dan membantu lebih banyak praktisi keamanan untuk mendapatkan pengalaman yang lebih baik dengan mode yang lebih efisien. xray 2.0 akan mengintegrasikan serangkaian alat keamanan baru, membentuk seperangkat alat keamanan yang komprehensif.
Alat pertama dari seri xray 2.0, yaitu xpoc, sudah diluncurkan. Selamat mencoba!
Sebelum menggunakan, harap baca dan setujui Lisensi yang ada dalam file ini. Jika tidak, jangan instal dan gunakan alat ini.
-
Gunakan crawler dasar untuk mengambil tautan dan lakukan pemindaian kerentanannya.
xray webscan --basic-crawler http://contoh.com --html-output vuln.html
-
Gunakan HTTP proxy untuk pemindaian pasif.
xray webscan --listen 127.0.0.1:7777 --html-output proxy.html
Atur HTTP proxy browser ke
http://127.0.0.1:7777untuk otomatis menganalisis lalu lintas proxy dan melakukan pemindaian.Untuk pemindaian lalu lintas HTTPS, baca bagian "Menangkap lalu lintas HTTPS" di bawah.
-
Lakukan pemindaian hanya untuk satu URL tanpa menggunakan crawler.
xray webscan --url http://contoh.com/?a=b --html-output single-url.html -
Tentukan plugin yang akan dijalankan secara manual.
Secara default, semua plugin bawaan akan diaktifkan. Anda dapat menggunakan perintah berikut untuk menentukan plugin yang akan diaktifkan.
xray webscan --plugins cmd-injection,sqldet --url http://contoh.com xray webscan --plugins cmd-injection,sqldet --listen 127.0.0.1:7777
-
Tentukan output plugin.
Anda dapat menentukan tempat keluaran informasi kerentanan pemindaian ke file tertentu.
xray webscan --url http://contoh.com/?a=b \ --text-output result.txt --json-output result.json --html-output report.html
Untuk penggunaan lainnya, harap baca dokumen: https://docs.xray.cool
Modul deteksi baru akan terus ditambahkan.
| Nama | Kunci | Versi | Penjelasan |
|---|---|---|---|
| Deteksi Kerentanan XSS | xss |
Komunitas | Mendeteksi kerentanan XSS menggunakan analisis semantik |
| Deteksi Kerentanan SQL | sqldet |
Komunitas | Mendukung jenis kerentanan injeksi kesalahan, injeksi boolean, dan injeksi waktu buta |
| Deteksi Injeksi Perintah/Kode | cmd-injection |
Komunitas | Mendukung injeksi perintah shell, eksekusi kode PHP, dan injeksi template lainnya |
| Pemindaian Direktori | dirscan |
Komunitas | Mendeteksi file cadangan, file sementara, halaman debug, file konfigurasi, dll. |
| Deteksi Traversal Path | path-traversal |
Komunitas | Mendukung platform dan encoding umum |
| Deteksi Injeksi Entitas XML | xxe |
Komunitas | Mendukung deteksi entitas XML dengan respon langsung atau entitas terbalik |
| Manajemen poc | phantasm |
Komunitas | Mengandung beberapa poc umum dan dapat disesuaikan oleh pengguna. Dokumen: POC |
| Deteksi Unggah File | upload |
Komunitas | Mendukung bahasa backend umum |
| Deteksi Kata Sandi Lemah | brute-force |
Komunitas | Mendukung deteksi kata sandi HTTP dasar dan kata sandi formulir sederhana, kamus nama pengguna dan kata sandi umum terintegrasi |
| Deteksi JSONP | jsonp |
Komunitas | Mendeteksi antarmuka JSONP yang mengandung informasi sensitif yang dapat dibaca melalui lintas domain |
| Deteksi SSRF | ssrf |
Komunitas | Modul deteksi SSRF, mendukung teknik bypass umum dan deteksi platform terbalik |
| Pemeriksaan Dasar | baseline |
Komunitas | Mendeteksi versi SSL rendah, header HTTP yang hilang atau salah, dll. |
| Deteksi Redireksi Bebas | redirect |
Komunitas | Mendukung meta HTML redirect, redirect 30x, dll. |
| CRLF Injection | crlf-injection |
Komunitas | Mendeteksi penyisipan header HTTP, mendukung parameter di posisi query, body, dll. |
| Deteksi Kerentanan XStream | xstream |
Komunitas | Mendeteksi kerentanan seri XStream |
| Deteksi Kerentanan Seri Struts2 | struts |
Advanced | Mendeteksi apakah situs target memiliki kerentanan seri Struts2, termasuk s2-016, s2-032, s2-045, s2-059, s2-061, dll. |
| Deteksi Kerentanan Seri Thinkphp | thinkphp |
Advanced | Mendeteksi kerentanan pada situs web yang dikembangkan dengan ThinkPHP |
| Deteksi Kerentanan Seri Shiro | shiro |
Advanced | Mendeteksi kerentanan seri Shiro deserialization |
| Deteksi Kerentanan Seri Fastjson | fastjson |
Advanced | Mendeteksi kerentanan seri Fastjson |
Untuk penggunaan lanjutan, silakan lihat https://docs.xray.cool/ menggunakan.
- Mengubah file konfigurasi
- Menangkap lalu lintas HTTPS
- Mengubah konfigurasi pengiriman HTTP
- Penggunaan platform terbalik
- ...
Kemajuan xray tidak terlepas dari dukungan para mastah. Dengan semangat saling membantu, agar kita bisa berkembang bersama, xray membuka saluran "Penerimaan POC"! Di sini Anda akan mendapatkan:
- Kontributor mengajukan dengan cara membuat PR ke repositori komunitas xray di github, lokasi pengajuan POC ada di sini: https://github.com/chaitin/xray/tree/master/pocs, lokasi script pengenalan sidik jari ada di sini: https://github.com/chaitin/xray/tree/master/fingerprints
- Di dalam PR, isi informasi POC sesuai dengan template Pull Request.
- PR akan diverifikasi secara internal untuk menentukan apakah akan dimasukkan ke repositori.
- Harap dicatat, jika ingin mendapatkan hadiah untuk POC yang diajukan, Anda perlu mengirimkan POC Anda ke CT stack untuk mendapatkan hadiah.
- Kontributor POC akan mendapatkan hadiah berupa koin emas yang melimpah, memberikan rasa pencapaian.
- Area penukaran hadiah yang banyak dan beragam, dengan lebih dari 50 pilihan hadiah merchandise yang bisa Anda pilih.
- Penawaran teratur dari kartu JD (Jingdong) untuk pertukaran, mendekatkan diri pada kebebasan finansial.
- Kesempatan masuk ke dalam komunitas inti, mengambil tugas khusus, dan mendapatkan reward bounty yang tinggi.
- Panduan lengkap dalam membuat dan menguji POC, membantu Anda untuk cepat memahami, mengurangi kesalahan.
- Kesempatan belajar langsung dan berbagi dengan kontributor, pengembang secara langsung, meningkatkan keterampilan secara keseluruhan.
- Kesempatan untuk mendapatkan pekerjaan tanpa tes tulis, membawa ke arah pekerjaan yang baik.
Jika Anda sudah berhasil menyumbangkan POC tetapi belum bergabung dengan grup, tambahkan akun servis pelanggan kami di WeChat:
Sediakan ID pendaftaran platform untuk diverifikasi dan setelah itu Anda dapat bergabung!
Lihat juga: https://docs.xray.cool/#/guide/contribute
Alat ini dapat membantu dalam membuat POC dan versi online mendukung pemeriksaan duplikat POC, sementara versi lokal mendukung verifikasi pengiriman langsung.
- Laboratorium Aturan
- Versi online mendukung pemeriksaan duplikat POC
Alat ini hanya bungkusan baris perintah sederhana dan bukan pemanggilan langsung ke metode. Dalam perencanaan xray, di masa depan akan ada alat GUI XrayPro yang sebenarnya dan lengkap. Nantikan itu.
Untuk laporan palsu atau laporan kebutuhan lainnya, harap baca https://docs.xray.cool/#/guide/feedback terlebih dahulu.
Jika ada masalah, silakan buat isu di GitHub, atau bergabung di grup diskusi di bawah ini:
-
Isu GitHub: https://github.com/chaitin/xray/issues
-
Akun WeChat: Pindai kode QR di bawah, dan ikuti kami.
-
Grup WeChat: Tambahkan akun WeChat dan klik "Hubungi Kami" -> "Bergabung dengan Grup", lalu pindai kode QR untuk bergabung.
-
Grup QQ: 717365081
