Web自动化漏洞检测工具之 Xray的安装和配置

一、介绍

xray不开源，利用golang开发的二进制单文件，下载地址：https://github.com/chaitin/xray/releases

二、运行

1、以window为例，下载到xray目录下，修改文件名为xray.exe。

2、桌面搜索框输入PowerShell，选择右键Window PowerShell找到文件位置，复制快捷方式到桌面。

3、修改起始位置为xray.exe的文件夹：

4、输入 ./xray.exe version查看版本号。

4、输入-h命令查看帮助信息:

5、查看webscan帮助信息：

三、进行代理模式的扫描配置

在扫描https协议的网站需要证书。

1、运行 .\xray_windows_amd64.exe genca 生成证书文件ca.crt到xray目录下，双击安装证书。

2、后面选是、确定即可。

3、修改配置文件：

4、搜索mitm，配置目标站：

5、设置上目标：

四、简单实用webscan对网站进行漏洞扫描

1、需要在浏览器设置里设置代理，127.0.0.1   端口：7777，将检测结果输出到我们定义的html格式文件里。

.\xray.exe webscan --listen 127.0.0.1:7777 --html-output test.html

2、ctrl + c退出。

3、如果生成的结果报告显示已经存在，可删除文件夹报告文件，重新生成也可更改报告文件名称进行重新生成。

4、浏览器打开我们在config.yaml配置文件设置的目标站，就会自动进行扫描测试了。

5、需要注意扫描为成功，中途终止不会生成报告。