一、Xray被動掃描介紹
Xray是一款免費的Web應用安全測試和漏洞掃描工具,其被動掃描模式可以在沒有對源代碼進行修改的情況下,對Web應用進行掃描,當Web應用正常運行時,Xray被動掃描可以自動攔截HTTP請求並分析請求並進行檢測,具有時間成本低,效率高的特點,現在已經成為了安全從業人員必備的工具之一。
二、Xray被動掃描的主要優點
1、對於複雜Web應用進行掃描時,可以使用Xray被動掃描,減少對應用的影響。
2、通過被動掃描模式可以自動攔截HTTP請求並分析請求並進行檢測,降低了誤報率。
3、Xray支持多種常見Web漏洞檢測,包括SQL注入、XSS、CSRF等等,還支持自定義腳本掃描。
4、Xray還支持離線掃描,可以將HTTP請求保存到本地,在沒有連接到Web應用的情況下進行掃描,這對於處於內網的應用掃描非常有幫助。
三、Xray被動掃描的常見用法
1、使用Xray進行SQL注入漏洞掃描
示例代碼: python3 xray.py webscan --plugins=sqlmap --url http://www.example.com/
該命令可以使用Xray的SQLMap插件對http://www.example.com/進行SQL注入漏洞掃描,掃描完成後會在控制台輸出掃描結果。
2、使用Xray進行反射型XSS漏洞掃描
示例代碼:
python3 xray.py webscan --plugins=detector_xss --url http://www.example.com/?q=alert('xss')
該命令可以使用Xray的XSS檢測插件對http://www.example.com/?q=<script>alert(‘xss’)</script>進行反射型XSS漏洞掃描,掃描完成後會在控制台輸出掃描結果。
3、使用Xray進行自定義腳本掃描
示例代碼: python3 xray.py webscan --plugins=scripts --url http://www.example.com/
該命令可以使用Xray的自定義腳本插件對http://www.example.com/進行掃描,自定義腳本可以根據需要編寫,掃描完成後會在控制台輸出掃描結果。
四、Xray被動掃描的主要缺點
1、對於需要與Web應用交互的漏洞,Xray被動掃描不能進行很好的檢測。
2、Xray被動掃描是一種被動測試方法,存在被動誤報的可能性。
五、總結
Xray被動掃描是一款免費的Web應用安全測試和漏洞掃描工具,通過其被動掃描模式可以在沒有對源代碼進行修改的情況下,對Web應用進行掃描,具有時間成本低,效率高的特點。同時,Xray還支持多種常見Web漏洞檢測,包括SQL注入、XSS、CSRF等等,還支持自定義腳本掃描。但是,Xray被動掃描也存在缺點,比如不能很好的處理與Web應用交互的漏洞,存在被動誤報的可能性。
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-hk/n/307141.html
微信掃一掃 
支付寶掃一掃 