欢迎来到【深圳市卓茂科技有限公司】官方网站!

返回上一页

X-RAY检查机是什么?你知道多少

X-RAY是一种功能强大的安全检测工具,由许多经验丰富的一线安全从业者精心打造而成,小编来为大家讲讲其主要特点有哪些。

1. 检测速度快。发包速度快,检测漏洞的高效算法;

2. 支持范围广。大至OWASP Top 10通用漏洞检测,小至各种CMS框架POC,均可以支持

3. 代码质量高。编写代码的人员素质高, 通过Code Review、单元测试、集成测试等多层验证来提高代码可靠性

4. 可定制。引擎的各种参数通过配置文件暴露出来,通过对配置文件的修改,可以具有很大的客制化功能;

5. X-RAY定位为安全辅助评估工具,而不是攻击工具,所有内置的payloadpoc都是无害的。

image.png

目前支持的漏洞检测类型包括:

1. XSS漏洞检测 (key: xss)

2. SQL 注入检测 (key: sqldet)

3. 命令/代码注入检测 (key: cmd-injection)

4. 目录枚举 (key: dirscan)

5. 路径穿越检测 (key: path-traversal)

6. XML 实体注入检测 (key: xxe)

7. 文件上传检测 (key: upload)

8. 弱口令检测 (key: brute-force)

9. jsonp 检测 (key: jsonp)

10. ssrf 检测 (key: ssrf)

11. 基线检查 (key: baseline)

12. 任意跳转检测 (key: redirect)

13. CRLF 注入 (key: crlf-injection)

14. Struts2 系列漏洞检测 (版,key: struts)

15. Thinkphp系列漏洞检测 (版,key: thinkphp)

16. POC 框架 (key: phantasm)

其中,POO框架默认为GitHub上贡献的POC,用户可根据需要构建poc

X-RAY设计理念:(1发送更低限度的袋子进行更佳检测如果一个请求可以确定存在漏洞,请发送一个请求,如果两个漏洞可以通过同一个可选护理环境检测到,请不要将它们分成两个;2在一定程度上允许虚假报告,以换取扫描速度的改进。如果在使用中发现虚假报告严重,可以给出反馈;3尽量不要使用时间盲目注释等机制来检测漏洞,时间检测受影响的因素太多,无法控制,可能会影响其他插件的运行。因此,除非有必要,否则请尝试使用与时间无关的支持;4尽量不要使用盲打平台,因为盲打平台增加了漏洞检测过程的不确定性和复杂性;5)耗时操作谨慎处理全局使用 Context 做管理,不会因为某个请求而导致全局卡死。


深圳市卓茂科技有限公司  All Rights Reserved   备案号: 粤ICP备10051678号      法律声明   隐私声明

返回顶部