渗透测试工具xray

渗透测试工具xray

2019年06月xray 0.1.0 发布，基于 HTTP 的被动代理扫描, 支持SQL 注入检测、命令注入检测、任意重定向检测、模块路径遍历检测等, 并开始了快速迭代更新的道路。

xray下载地址：

https://github.com/chaitin/xray

https://download.xray.cool/

xray视频教程：

第一课：https://www.bilibili.com/video/BV1rf4y127T2

第二课：https://www.bilibili.com/video/BV1Tg4y1q7aP

第三课：https://www.bilibili.com/video/BV1PK411H7fR

第四课：https://www.bilibili.com/video/BV11D4y1m7SW

第五课：https://www.bilibili.com/video/BV1oZ4y1T7LX

常见 Web 漏洞检测
内置 10+ 通用 Web 漏洞检测模块，支持 SQL 注入、XSS、命令执行、文件包含等通用漏洞的准确检测

200+ POC
内置社区提交的 200+ 高质量 POC，覆盖近三年实战高危 Web 漏洞，而且统统免费使用

专项检测能力
高级版支持 struts、fastjson、thinkphp、shiro 等框架的高危历史漏洞一键检测

NG 检测算法
融合安全专家多年攻防经验，利用独有的检测方法表达出来，智能检测不再空谈

深度定制化支持
在配置文件中开放众多配置项，通过调整相关参数可以自定义引擎的能力

多源扫描方式
支持被动代理、基础爬虫、浏览器爬虫、单 URL 等多种输入源可选，并可以使用代理自行拓展

浏览器爬虫
rad 爬虫可以动态渲染各种框架的网站并进行请求抓取，不放过漏洞存在的 "隐秘的角落"

高交互页面访问
模拟人的行为进行单击、输入等操作时，做到智能停止、返回、继续深入点击等操作

持续迭代更新
重要问题快速修复，重大漏洞持续添加，保持生命活力

1.1 什么是Web应用

Web应用是由动态脚本、编译过的代码等组合而成。它通常架设在Web服务器上，用户在Web浏览器上发送请求，这些请求使用HTTP协议，经过因特网和企业的Web应用交互，由Web应用和企业后台的数据库及其他动态内容通信。

1.2 Web应用的架构

尽管不同的企业会有不同的Web环境搭建方式，一个典型的Web应用通常是标准的三层架构模型。

在这种最常见的模型中，客户端是第一层；使用动态Web内容技术的部分属于中间层；数据库是第三层。用户通过Web浏览器发送请求( request)给中间层，由中间层将用户的请求转换为对后台数据的查询或是更新，并将最终的结果在浏览器上展示给用户。

什么是渗透测试

渗透测试是渗透测试工程师对黑客可能用来深入检测目标网络、主机和应用程序安全的攻击技术和漏洞发现技术的完整模拟，并找到系统之中最易受攻击的环节

如何进行web渗透测试

完整的web渗透测试框架当有数千个web应用程序需要测试时，有必要建立一个完整的安全测试框架。该流程的最高目标是确保向客户提供的安全测试服务的质量。