长亭 Xray Web 漏洞扫描器适用对象安全研究人员、渗透测试工程师、开发人员、网络安全爱好者前置知识了解基本的 HTTP 协议、Web 安全概念如 SQL 注入、XSS法律声明本教程仅用于授权的安全测试、本地靶场练习或自有系统自查。未经授权扫描他人系统是违法行为。文章目录长亭 Xray Web 漏洞扫描器Xray 简介与核心优势环境准备与安装核心工作模式详解实战演示命令大全高级技巧自定义 POC 与联动报告解读与误报处理常见问题 FAQXray 简介与核心优势Xray 是由国内顶尖安全团队 长亭科技 开源的一款高性能 Web 漏洞扫描器。它从企业级产品“洞鉴”中提取核心能力免费提供给社区使用。 核心特点双模驱动支持 主动扫描爬虫检测和 被动扫描代理流量分析。超低误报采用语义分析技术特别是在 XSS 和 SQL 注入检测上误报率远低于传统工具。无危害验证内置 Payload 均为无害化验证Proof of Concept只证明漏洞存在不利用漏洞破坏数据。高度可扩展支持用户编写 YAML 格式的自定义 POC快速响应 0day 漏洞。跨平台免安装基于 Go 语言开发提供 Windows/Linux/macOS 二进制文件解压即用。 检测范围覆盖 OWASP Top 10 及常见 CMS 漏洞SQL 注入、XSS跨站脚本、命令/代码注入SSRF服务端请求伪造、XXEXML 外部实体注入目录枚举、路径穿越、文件包含弱口令、未授权访问、组件版本漏洞环境准备与安装2.1 下载访问官方 GitHub 仓库下载最新版本https://github.com/chaitin/xray/releasesWindows: 下载xray_windows_amd64.zipLinux: 下载xray_linux_amd64.zipmacOS: 下载xray_macos_amd64.zip (M1/M2 芯片请选 arm64)2.2 安装步骤Xray 无需安装解压即可运行。Windows1.解压压缩包。2.双击xray_windows_amd64.exe或在 CMD/PowerShell 中运行。3.(可选) 生成 HTTPS 证书以支持扫描加密流量.xray_windows_amd64.exe genca按提示将生成的ca.crt导入到浏览器和操作系统的“受信任的根证书颁发机构”。Linux / macOS1.解压并赋予执行权限unzipxray_linux_amd64.zipchmodx xray2.(可选) 生成 HTTPS 证书./xray genca将ca.crt导入系统信任库如 Ubuntu:sudo cp ca.crt /usr/local/share/ca-certificates/然后sudo update-ca-certificates。核心工作模式详解Xray 主要有三种使用场景对应不同的命令模式模式描述适用场景优点被动扫描 (webscan --listen)作为 HTTP 代理监听端口分析经过的流量。配合浏览器手动测试、Burp Suite 联动、爬虫工具。最常用。不漏掉复杂逻辑漏洞误报极低不影响业务。主动扫描 (webscan --url)内置简易爬虫自动爬取目标并检测。快速摸底、资产普查、简单站点检测。速度快一键操作无需人工干预。爬虫独立模式 (radium)仅运行爬虫将链接输出给其他工具。需要定制化处理爬虫结果的场景。灵活可对接自定义检测引擎。实战演示命令大全⚠️ 注意以下演示请在本地靶场如 DVWA, Pikacha, Vulhub或已授权的环境中进行。场景一被动扫描推荐入门目标拦截浏览器流量实时检测漏洞。步骤1.启动 Xray 监听本地 7777 端口并指定输出报告文件名。2.配置浏览器代理为 127.0.0.1:7777。3.正常浏览网站Xray 会自动分析。 命令演示# Windows.xray_windows_amd64.exe webscan--listen127.0.0.1:7777 --html-output report_passive.html# Linux / macOS./xray webscan--listen127.0.0.1:7777 --html-output report_passive.html–listen: 指定监听地址和端口。–html-output: 扫描结束后生成可视化的 HTML 报告。操作启动后打开浏览器访问http://your-target.com随意点击页面、提交表单。扫描完成后在文件夹中找到report_passive.html查看结果。场景二主动扫描快速摸底目标对指定 URL 进行全自动爬虫和漏洞检测。适用已知入口点希望快速发现表面漏洞。 命令演示# 基础扫描扫描单个 URL./xray webscan--urlhttp://testphp.vulnweb.com/ --html-output report_active.html# 进阶扫描指定插件模块只扫 SQL 注入和 XSS加快速度./xray webscan--urlhttp://testphp.vulnweb.com/--pluginssqldet,xss --html-output report_fast.html# 深度扫描增加爬虫深度默认较浅可调大./xray webscan--urlhttp://testphp.vulnweb.com/ --max-depth5--html-output report_deep.html–url: 指定目标起始网址。–plugins: 指定只运行某些检测插件逗号分隔如 sqldet (SQL注入), xss, cmd-injection 等。不填则默认全开。–max-depth: 控制爬虫爬取的深度防止无限爬取。场景三与 Burp Suite 联动专家模式目标利用 Burp 强大的抓包改包能力结合 Xray 的自动化检测能力。原理浏览器 - Burp (Proxy) - Xray (Proxy) - 目标服务器。 命令演示1.启动 Xray监听 7777./xray webscan--listen127.0.0.1:7777 --html-output report_burp.html2.配置 Burp Suite打开 Burp -Proxy-Options(或Proxy Settings)。找到Upstream Proxy Servers(上游代理)。添加规则匹配所有主机 (.*)指向127.0.0.1:7777。3.配置浏览器浏览器代理指向 Burp (通常是127.0.0.1:8080)。4.开始测试在 Burp 中修改数据包并发送Repeater/Intruder或者让 Burp 自动爬虫。流量会经过 Xray 检测结果实时记录在 report_burp.html 中。场景四指定配置文件与高级参数Xray 的强大在于其 config.yaml 配置文件可以精细控制扫描行为。 命令演示# 使用自定义配置文件./xray webscan--urlhttp://target.com--configmy_config.yaml --html-output result.html# 只输出 JSON 格式结果便于对接 CI/CD 或自动化平台./xray webscan--urlhttp://target.com --json-output result.json# 限制扫描速率防止把目标扫挂 (QPS 限制)./xray webscan--urlhttp://target.com --rate-limit10--html-output safe_report.html高级技巧自定义 POC 与联动5.1 编写自定义 POC当爆发新漏洞如 Log4j2, Fastjson 新变种时官方规则可能未及时更新你可以自己写。Xray 使用 YAML 格式编写 POC。示例检测一个简单的回显型命令注入创建文件my_poc.yamlname:poc-yaml-custom-cmd-injectionrules:method:GETpath:/ping?ip127.0.0.1;whoamiexpression:response.body.bcontains(broot)||response.body.bcontains(buser)detail:author:your_namedescription:自定义命令注入检测运行命令加载自定义 POC./xray webscan--urlhttp://target.com--pluginsmy_poc.yaml --html-output custom_report.html# 或者将 poc 放入 plugins 目录默认会自动加载5.2 搭配 Radium (长亭开源爬虫)如果 Xray 自带的爬虫不够强可以先用 Radium 爬取所有链接再喂给 Xray。# 使用 Radium 爬取链接并保存./radium--urlhttp://target.com--outputlinks.txt# 使用 Xray 批量扫描这些链接 (需配合脚本或 xray 的 stdin 模式)catlinks.txt|xargs-I{}./xray webscan--url{}--html-output batch_{}.html报告解读与误报处理扫描完成后打开生成的.html报告1.概览查看漏洞总数、风险等级分布高/中/低/提示。2.详情点击具体漏洞查看漏洞类型如 SQL Injection (Blind)。请求包 (Request)Xray 发送的探测Payload。响应包 (Response)服务器的返回重点看高亮部分这是判断漏洞是否成立的依据。3.误报处理如果确认是误报可在配置文件的blacklist中添加特征或在自定义 POC 中优化表达式。常见误报原因WAF 拦截返回特定页面、动态内容随机变化。常见问题 FAQQ1: 扫描 HTTPS 网站报错或没反应A:必须生成并信任 Xray 的 CA 证书。运行./xray genca然后将生成的ca.crt导入操作系统和浏览器的“受信任的根证书颁发机构”。Q2: 扫描速度太慢怎么办A:使用--plugins参数只开启需要的检测模块。如果是内网检查网络延迟。调整--rate-limit参数适当调大但别把目标扫崩。Q3: 为什么有些明显的漏洞扫不出来A:漏洞位于深层逻辑需要特定参数或登录状态建议使用被动扫描人工登录后让流量经过 Xray。目标有 WAF 拦截了探测Payload。这是一个逻辑漏洞而非通用技术漏洞通用扫描器很难检测逻辑漏洞。Q4: 可以在生产环境直接使用吗A: 谨慎虽然 Xray 的 Payload 是无害的但高并发扫描仍可能导致服务不稳定。务必先在测试环境验证并在生产环境限制扫描速率–rate-limit最好避开业务高峰期。箫哥寄语工具只是辅助核心在于人的思维。
长亭 Xray Web 漏洞扫描器
长亭 Xray Web 漏洞扫描器适用对象安全研究人员、渗透测试工程师、开发人员、网络安全爱好者前置知识了解基本的 HTTP 协议、Web 安全概念如 SQL 注入、XSS法律声明本教程仅用于授权的安全测试、本地靶场练习或自有系统自查。未经授权扫描他人系统是违法行为。文章目录长亭 Xray Web 漏洞扫描器Xray 简介与核心优势环境准备与安装核心工作模式详解实战演示命令大全高级技巧自定义 POC 与联动报告解读与误报处理常见问题 FAQXray 简介与核心优势Xray 是由国内顶尖安全团队 长亭科技 开源的一款高性能 Web 漏洞扫描器。它从企业级产品“洞鉴”中提取核心能力免费提供给社区使用。 核心特点双模驱动支持 主动扫描爬虫检测和 被动扫描代理流量分析。超低误报采用语义分析技术特别是在 XSS 和 SQL 注入检测上误报率远低于传统工具。无危害验证内置 Payload 均为无害化验证Proof of Concept只证明漏洞存在不利用漏洞破坏数据。高度可扩展支持用户编写 YAML 格式的自定义 POC快速响应 0day 漏洞。跨平台免安装基于 Go 语言开发提供 Windows/Linux/macOS 二进制文件解压即用。 检测范围覆盖 OWASP Top 10 及常见 CMS 漏洞SQL 注入、XSS跨站脚本、命令/代码注入SSRF服务端请求伪造、XXEXML 外部实体注入目录枚举、路径穿越、文件包含弱口令、未授权访问、组件版本漏洞环境准备与安装2.1 下载访问官方 GitHub 仓库下载最新版本https://github.com/chaitin/xray/releasesWindows: 下载xray_windows_amd64.zipLinux: 下载xray_linux_amd64.zipmacOS: 下载xray_macos_amd64.zip (M1/M2 芯片请选 arm64)2.2 安装步骤Xray 无需安装解压即可运行。Windows1.解压压缩包。2.双击xray_windows_amd64.exe或在 CMD/PowerShell 中运行。3.(可选) 生成 HTTPS 证书以支持扫描加密流量.xray_windows_amd64.exe genca按提示将生成的ca.crt导入到浏览器和操作系统的“受信任的根证书颁发机构”。Linux / macOS1.解压并赋予执行权限unzipxray_linux_amd64.zipchmodx xray2.(可选) 生成 HTTPS 证书./xray genca将ca.crt导入系统信任库如 Ubuntu:sudo cp ca.crt /usr/local/share/ca-certificates/然后sudo update-ca-certificates。核心工作模式详解Xray 主要有三种使用场景对应不同的命令模式模式描述适用场景优点被动扫描 (webscan --listen)作为 HTTP 代理监听端口分析经过的流量。配合浏览器手动测试、Burp Suite 联动、爬虫工具。最常用。不漏掉复杂逻辑漏洞误报极低不影响业务。主动扫描 (webscan --url)内置简易爬虫自动爬取目标并检测。快速摸底、资产普查、简单站点检测。速度快一键操作无需人工干预。爬虫独立模式 (radium)仅运行爬虫将链接输出给其他工具。需要定制化处理爬虫结果的场景。灵活可对接自定义检测引擎。实战演示命令大全⚠️ 注意以下演示请在本地靶场如 DVWA, Pikacha, Vulhub或已授权的环境中进行。场景一被动扫描推荐入门目标拦截浏览器流量实时检测漏洞。步骤1.启动 Xray 监听本地 7777 端口并指定输出报告文件名。2.配置浏览器代理为 127.0.0.1:7777。3.正常浏览网站Xray 会自动分析。 命令演示# Windows.xray_windows_amd64.exe webscan--listen127.0.0.1:7777 --html-output report_passive.html# Linux / macOS./xray webscan--listen127.0.0.1:7777 --html-output report_passive.html–listen: 指定监听地址和端口。–html-output: 扫描结束后生成可视化的 HTML 报告。操作启动后打开浏览器访问http://your-target.com随意点击页面、提交表单。扫描完成后在文件夹中找到report_passive.html查看结果。场景二主动扫描快速摸底目标对指定 URL 进行全自动爬虫和漏洞检测。适用已知入口点希望快速发现表面漏洞。 命令演示# 基础扫描扫描单个 URL./xray webscan--urlhttp://testphp.vulnweb.com/ --html-output report_active.html# 进阶扫描指定插件模块只扫 SQL 注入和 XSS加快速度./xray webscan--urlhttp://testphp.vulnweb.com/--pluginssqldet,xss --html-output report_fast.html# 深度扫描增加爬虫深度默认较浅可调大./xray webscan--urlhttp://testphp.vulnweb.com/ --max-depth5--html-output report_deep.html–url: 指定目标起始网址。–plugins: 指定只运行某些检测插件逗号分隔如 sqldet (SQL注入), xss, cmd-injection 等。不填则默认全开。–max-depth: 控制爬虫爬取的深度防止无限爬取。场景三与 Burp Suite 联动专家模式目标利用 Burp 强大的抓包改包能力结合 Xray 的自动化检测能力。原理浏览器 - Burp (Proxy) - Xray (Proxy) - 目标服务器。 命令演示1.启动 Xray监听 7777./xray webscan--listen127.0.0.1:7777 --html-output report_burp.html2.配置 Burp Suite打开 Burp -Proxy-Options(或Proxy Settings)。找到Upstream Proxy Servers(上游代理)。添加规则匹配所有主机 (.*)指向127.0.0.1:7777。3.配置浏览器浏览器代理指向 Burp (通常是127.0.0.1:8080)。4.开始测试在 Burp 中修改数据包并发送Repeater/Intruder或者让 Burp 自动爬虫。流量会经过 Xray 检测结果实时记录在 report_burp.html 中。场景四指定配置文件与高级参数Xray 的强大在于其 config.yaml 配置文件可以精细控制扫描行为。 命令演示# 使用自定义配置文件./xray webscan--urlhttp://target.com--configmy_config.yaml --html-output result.html# 只输出 JSON 格式结果便于对接 CI/CD 或自动化平台./xray webscan--urlhttp://target.com --json-output result.json# 限制扫描速率防止把目标扫挂 (QPS 限制)./xray webscan--urlhttp://target.com --rate-limit10--html-output safe_report.html高级技巧自定义 POC 与联动5.1 编写自定义 POC当爆发新漏洞如 Log4j2, Fastjson 新变种时官方规则可能未及时更新你可以自己写。Xray 使用 YAML 格式编写 POC。示例检测一个简单的回显型命令注入创建文件my_poc.yamlname:poc-yaml-custom-cmd-injectionrules:method:GETpath:/ping?ip127.0.0.1;whoamiexpression:response.body.bcontains(broot)||response.body.bcontains(buser)detail:author:your_namedescription:自定义命令注入检测运行命令加载自定义 POC./xray webscan--urlhttp://target.com--pluginsmy_poc.yaml --html-output custom_report.html# 或者将 poc 放入 plugins 目录默认会自动加载5.2 搭配 Radium (长亭开源爬虫)如果 Xray 自带的爬虫不够强可以先用 Radium 爬取所有链接再喂给 Xray。# 使用 Radium 爬取链接并保存./radium--urlhttp://target.com--outputlinks.txt# 使用 Xray 批量扫描这些链接 (需配合脚本或 xray 的 stdin 模式)catlinks.txt|xargs-I{}./xray webscan--url{}--html-output batch_{}.html报告解读与误报处理扫描完成后打开生成的.html报告1.概览查看漏洞总数、风险等级分布高/中/低/提示。2.详情点击具体漏洞查看漏洞类型如 SQL Injection (Blind)。请求包 (Request)Xray 发送的探测Payload。响应包 (Response)服务器的返回重点看高亮部分这是判断漏洞是否成立的依据。3.误报处理如果确认是误报可在配置文件的blacklist中添加特征或在自定义 POC 中优化表达式。常见误报原因WAF 拦截返回特定页面、动态内容随机变化。常见问题 FAQQ1: 扫描 HTTPS 网站报错或没反应A:必须生成并信任 Xray 的 CA 证书。运行./xray genca然后将生成的ca.crt导入操作系统和浏览器的“受信任的根证书颁发机构”。Q2: 扫描速度太慢怎么办A:使用--plugins参数只开启需要的检测模块。如果是内网检查网络延迟。调整--rate-limit参数适当调大但别把目标扫崩。Q3: 为什么有些明显的漏洞扫不出来A:漏洞位于深层逻辑需要特定参数或登录状态建议使用被动扫描人工登录后让流量经过 Xray。目标有 WAF 拦截了探测Payload。这是一个逻辑漏洞而非通用技术漏洞通用扫描器很难检测逻辑漏洞。Q4: 可以在生产环境直接使用吗A: 谨慎虽然 Xray 的 Payload 是无害的但高并发扫描仍可能导致服务不稳定。务必先在测试环境验证并在生产环境限制扫描速率–rate-limit最好避开业务高峰期。箫哥寄语工具只是辅助核心在于人的思维。
