Xray
| Project Name | Stars | Downloads | Repos Using This | Packages Using This | Most Recent Commit | Total Releases | Latest Release | Open Issues | License | Language |
|---|---|---|---|---|---|---|---|---|---|---|
| Cs Interview Knowledge Map | 17,020 | 4 years ago | 40 | |||||||
| Build the best interview map. The current content includes JS, network, browser related, performance optimization, security, framework, Git, data structure, algorithm, etc. | ||||||||||
| Xray | 9,132 | 19 days ago | 163 | other | Vue | |||||
| 一款完善的安全评估工具,支持常见 web 安全问题扫描和自定义 poc | 使用之前务必先阅读文档 | ||||||||||
| Privacy.sexy | 3,012 | a day ago | 70 | agpl-3.0 | TypeScript | |||||
| Open-source tool to enforce privacy & security best-practices on Windows, macOS and Linux, because privacy is sexy 🍑🍆 | ||||||||||
| Spearmint | 1,279 | 2 months ago | 5 | mit | TypeScript | |||||
| Testing, simplified. || An inclusive, accessibility-first GUI for generating clean, semantic Javascript tests in only a few clicks of a button. | ||||||||||
| Ballcat | 1,266 | 1 | a day ago | 11 | August 11, 2021 | 14 | apache-2.0 | Java | ||
| 😸一个快速开发脚手架,快速搭建企业级后台管理系统,并提供多种便捷starter进行功能扩展。主要功能包括前后台用户分离,菜单权限,数据权限,定时任务,访问日志,操作日志,异常日志,统一异常处理,XSS过滤,SQL防注入,国际化 等多种功能 | ||||||||||
| Rollup Plugin Vue | 829 |  | 1,897 | 10,508 | 2 years ago | 102 | November 25, 2020 | 70 | mit | TypeScript |
| Roll .vue files | ||||||||||
| Articles Translator | 612 | 10 months ago | mit | |||||||
| :books:Translate the distinct technical blogs. Please star or watch. Welcome to join me. | ||||||||||
| Nuxt Security | 576 |  | 7 | 9 days ago | 25 | November 15, 2023 | 17 | mit | TypeScript | |
| 🛡 Security Module for Nuxt based on HTTP Headers and Middleware | ||||||||||
| Xiao Xiao Su | 292 | 7 months ago | 4 | Vue | ||||||
| 基于Spring Boot+Spring Security+JWT+Vue前后端分离的旺旺小小酥 ( 一口一口又香又脆❤~ ) | ||||||||||
| Reconnote | 274 | 3 years ago | 2 | Vue | ||||||
| Web Application Security Automation Framework which recons the target for various assets to maximize the attack surface for security professionals & bug-hunters | ||||||||||
Welcome to xray 👋
一款功能强大的安全评估工具
✨ Demo
🏠使用文档
⬇️国内用户下载地址
⬇️GitHub下载地址
注意:xray 不开源,直接下载构建的二进制文件即可,仓库内主要为社区贡献的 poc,每次 xray 发布将自动打包。
xray2.0
为了解决 xray 1.0在功能增加过程中变得复杂且臃肿的问题,我们推出了 xray 2.0。
这一全新版本致力于提升功能使用的流畅度,降低使用门槛,并帮助更多安全行业从业者以更高效的模式收获更好的体验。xray 2.0 将整合一系列新的安全工具,形成一个全面的安全工具集。
xray2.0系列的第一款工具xpoc已经上线,欢迎体验!
🚀 快速使用
在使用之前,请务必阅读并同意 License 文件中的条款,否则请勿安装使用本工具。
-
使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描
xray webscan --basic-crawler http://example.com --html-output vuln.html -
使用 HTTP 代理进行被动扫描
xray webscan --listen 127.0.0.1:7777 --html-output proxy.html设置浏览器 http 代理为
http://127.0.0.1:7777,就可以自动分析代理流量并扫描。如需扫描 https 流量,请阅读下方文档
抓取 https 流量部分 -
只扫描单个 url,不使用爬虫
xray webscan --url http://example.com/?a=b --html-output single-url.html -
手动指定本次运行的插件
默认情况下,将会启用所有内置插件,可以使用下列命令指定本次扫描启用的插件。
xray webscan --plugins cmd-injection,sqldet --url http://example.com xray webscan --plugins cmd-injection,sqldet --listen 127.0.0.1:7777 -
指定插件输出
可以指定将本次扫描的漏洞信息输出到某个文件中:
xray webscan --url http://example.com/?a=b \ --text-output result.txt --json-output result.json --html-output report.html
其他用法请阅读文档: https://docs.xray.cool
🪟 检测模块
新的检测模块将不断添加
| 名称 | Key | 版本 | 说明 |
|---|---|---|---|
| XSS漏洞检测 | xss |
社区版 | 利用语义分析的方式检测XSS漏洞 |
| SQL 注入检测 | sqldet |
社区版 | 支持报错注入、布尔注入和时间盲注等 |
| 命令/代码注入检测 | cmd-injection |
社区版 | 支持 shell 命令注入、PHP 代码执行、模板注入等 |
| 目录枚举 | dirscan |
社区版 | 检测备份文件、临时文件、debug 页面、配置文件等10余类敏感路径和文件 |
| 路径穿越检测 | path-traversal |
社区版 | 支持常见平台和编码 |
| XML 实体注入检测 | xxe |
社区版 | 支持有回显和反连平台检测 |
| poc 管理 | phantasm |
社区版 | 默认内置部分常用的 poc,用户可以根据需要自行构建 poc 并运行。文档:POC |
| 文件上传检测 | upload |
社区版 | 支持常见的后端语言 |
| 弱口令检测 | brute-force |
社区版 | 社区版支持检测 HTTP 基础认证和简易表单弱口令,内置常见用户名和密码字典 |
| jsonp 检测 | jsonp |
社区版 | 检测包含敏感信息可以被跨域读取的 jsonp 接口 |
| ssrf 检测 | ssrf |
社区版 | ssrf 检测模块,支持常见的绕过技术和反连平台检测 |
| 基线检查 | baseline |
社区版 | 检测低 SSL 版本、缺失的或错误添加的 http 头等 |
| 任意跳转检测 | redirect |
社区版 | 支持 HTML meta 跳转、30x 跳转等 |
| CRLF 注入 | crlf-injection |
社区版 | 检测 HTTP 头注入,支持 query、body 等位置的参数 |
| XStream漏洞检测 | xstream |
社区版 | 检测XStream系列漏洞 |
| Struts2 系列漏洞检测 | struts |
高级版 | 检测目标网站是否存在Struts2系列漏洞,包括s2-016、s2-032、s2-045、s2-059、s2-061等常见漏洞 |
| Thinkphp系列漏洞检测 | thinkphp |
高级版 | 检测ThinkPHP开发的网站的相关漏洞 |
| shiro反序列化漏洞检测 | shiro |
高级版 | 检测Shiro反序列化漏洞 |
| fastjson系列检测 | fastjson |
高级版 | 检测fastjson系列漏洞 |
⚡️ 进阶使用
下列高级用法请查看 https://docs.xray.cool/ 使用。
- 修改配置文件
- 抓取 https 流量
- 修改 http 发包配置
- 反连平台的使用
- ...
😘 贡献 POC
xray的进步离不开各位师傅的支持,秉持着互助共建的精神,为了让我们共同进步,xray也开通了“PoC收录”的渠道!在这里你将会得到:
提交流程
- 贡献者以 PR 的方式向 github xray 社区仓库内提交, POC 提交位置: https://github.com/chaitin/xray/tree/master/pocs, 指纹识别脚本提交位置: https://github.com/chaitin/xray/tree/master/fingerprints
- PR 中根据 Pull Request 的模板填写 POC 信息
- 内部审核 PR,确定是否合并入仓库
- 但需要注意,如果想要获得POC的奖励,需要将你的POC提交到CT stack,才能获取到奖励
丰厚的奖励
- 贡献PoC将获得丰厚的金币奖励,成就感满满;
- 丰富的礼品兑换专区,50余种周边礼品任你挑选;
- 定期更有京东卡上线兑换,离财富自由又近了一步;
- 进入核心社群的机会,领取特殊任务,赚取高额赏金;
完善的教程
- 完善的PoC编写教程和指导,让你快速上手,少走弯路;
学习与交流
- 与贡献者、开发者面对面学习交流的机会,各项能力综合提高;
- 免笔试的直通面试机会,好工作不是梦;
如果你已经成功贡献过PoC但是还没有进群,请添加客服微信:
提供平台注册id进行验证,验证通过后即可进群!
参照: https://docs.xray.cool/#/guide/contribute
🔧周边生态
POC编写辅助工具
该工具可以辅助生成POC,且在线版支持poc查重,本地版支持直接发包验证
在线版
- 规则实验室
- 在线版支持对poc查重
本地版
xray gui辅助工具
本工具仅是简单的命令行包装,并不是直接调用方法。在 xray 的规划中,未来会有一款真正的完善的 GUI 版 XrayPro 工具,敬请期待。
📝 讨论区
提交误报漏报需求等等请务必先阅读 https://docs.xray.cool/#/guide/feedback
如有问题可以在 GitHub 提 issue, 也可在下方的讨论组里
-
GitHub issue: https://github.com/chaitin/xray/issues
-
微信公众号:微信扫描以下二维码,关注我们
-
微信群: 请添加微信公众号并点击“联系我们" -> "加群“,然后扫描二维码加群
-
QQ 群: 717365081
