集众多令人惊异的特性于一身

常见 Web 漏洞检测

内置 10+ 通用 Web 漏洞检测模块,支持 SQL 注入、XSS、命令执行、文件包含等通用漏洞的精准检测

200+ POC

内置社区提交的 200+ 高质量 POC,覆盖近三年实战高危 Web 漏洞,而且统统免费使用

专项检测能力

高级版支持 struts、fastjson、thinkphp、shiro 等框架的高危历史漏洞一键检测

NG 检测算法

融合安全专家多年攻防经验,利用独有的高效检测方法表达出来,智能检测不再空谈

深度定制化支持

在配置文件中开放众多配置项,通过调整相关参数可以极大的自定义引擎的能力

多源扫描方式

支持被动代理、基础爬虫、浏览器爬虫、单 URL 等多种输入源可选,并可以使用代理自行拓展

浏览器爬虫

rad 爬虫可以动态渲染各种框架的网站并进行请求抓取,不放过漏洞存在的 "隐秘的角落"

高交互页面访问

模拟人的行为进行单击、输入等操作时,做到智能停止、返回、继续深入点击等操作

持续迭代更新

重要问题快速修复,重大漏洞持续添加,保持生命活力

Timeline

社区大事记

Future

未来无限可能

2020.08

社区新成员——rad 浏览器爬虫发布!

rad 作为新一代浏览器爬虫,可以智能爬取各种 Web2.0 网站,模拟人的行为进行点击、输入等,自带事件事件和表单填充,助力漏洞扫描更快一步

2020.07

新增 Shiro 漏洞检测插件

独家反序列化利用链,独家回显 payload,独家无Java依赖扫描,统统融合在 xray 的 Shiro 漏洞检测插件中!

2020.06

社区一周年!

一周年带来大量功能更新和 Bug 修复的同时为全员赠送了阳光普照奖——免费使用高级版两个月!活动当天,有数万网名安全人员领取了高级版授权!

2020.04

大幅改进使用体验

重新 HTML 报告并开源,用户可以自定义漏洞扫描展示结果;支持内嵌 JSON 的形式的参数深度解析;优化队列结构,大幅降低队列堆积速度;调整扫描调度算法,扫描速度更快过程更稳定

2020.02

增加服务漏洞检测功能

支持一键检测 Tomcat 幽灵猫漏洞 CVE-2020-1938, 支持批量检测,支持输出报告

2020.01

参与阿里先知白帽大会

发布议题《漏洞挖掘进化论——推开 xray 之门》,介绍了 xray 中部分检测算法的实现,包括 POC 框架、jsonp 检测、反连检测等,会后 xray 获得大量白帽子的关注并广受好评

2019.12

新增 fastjson 插件

创新性基于 RMI 协议反连检测 fastjson 漏洞,使用精心构造的 payload 支持 1.2.47 以下全版本高危漏洞检测

重构 POC 语法

通过类型注入,在 poc 中可以直接使用 request/response 的语法编写表达式,简单直观

2019.11

高级版新增子域名扫描功能

支持字典爆破,API 获取,域传送三种方式收集子域名, 自带炫酷 ConsoleUI

2019.10

社区高级版诞生!

社区版中将集成部分商业版中的精品插件,尤其是热门框架历史漏洞的扫描,社区可以通过提交 POC、参与 xray 举办的活动等方式获得高级版。 本月高级版内置 struts 历史漏洞检测插件和 ThinkPHP 历史漏洞检测插件。

2019.08

新增基础爬虫

支持通过基础爬虫一键扫描目标,已经支持被动代理、普通爬虫、单url等多种方式

新增 XSS 检测插件

基于语义分析的 XSS 检测,发包量极少,漏误报极低,甚至可以过 WAF

2019.07

支持自定义 POC

通过编写 YAML 格式的检测脚本,可以自行为 xray 拓展扫描能力,从此开启社区新纪元

2019.06

xray 0.1.0 发布

基于 HTTP 的被动代理扫描, 支持SQL 注入检测、命令注入检测、任意重定向检测、模块路径遍历检测等, 并开始了快速迭代更新的道路