内置 10+ 通用 Web 漏洞检测模块,支持 SQL 注入、XSS、命令执行、文件包含等通用漏洞的精准检测
内置社区提交的 200+ 高质量 POC,覆盖近三年实战高危 Web 漏洞,而且统统免费使用
高级版支持 struts、fastjson、thinkphp、shiro 等框架的高危历史漏洞一键检测
融合安全专家多年攻防经验,利用独有的高效检测方法表达出来,智能检测不再空谈
在配置文件中开放众多配置项,通过调整相关参数可以极大的自定义引擎的能力
支持被动代理、基础爬虫、浏览器爬虫、单 URL 等多种输入源可选,并可以使用代理自行拓展
rad 爬虫可以动态渲染各种框架的网站并进行请求抓取,不放过漏洞存在的 "隐秘的角落"
模拟人的行为进行单击、输入等操作时,做到智能停止、返回、继续深入点击等操作
重要问题快速修复,重大漏洞持续添加,保持生命活力
Future
2020.08
rad 作为新一代浏览器爬虫,可以智能爬取各种 Web2.0 网站,模拟人的行为进行点击、输入等,自带事件事件和表单填充,助力漏洞扫描更快一步
2020.07
独家反序列化利用链,独家回显 payload,独家无Java依赖扫描,统统融合在 xray 的 Shiro 漏洞检测插件中!
2020.06
一周年带来大量功能更新和 Bug 修复的同时为全员赠送了阳光普照奖——免费使用高级版两个月!活动当天,有数万网名安全人员领取了高级版授权!
2020.04
重新 HTML 报告并开源,用户可以自定义漏洞扫描展示结果;支持内嵌 JSON 的形式的参数深度解析;优化队列结构,大幅降低队列堆积速度;调整扫描调度算法,扫描速度更快过程更稳定
2020.02
支持一键检测 Tomcat 幽灵猫漏洞 CVE-2020-1938, 支持批量检测,支持输出报告
2020.01
发布议题《漏洞挖掘进化论——推开 xray 之门》,介绍了 xray 中部分检测算法的实现,包括 POC 框架、jsonp 检测、反连检测等,会后 xray 获得大量白帽子的关注并广受好评
2019.12
创新性基于 RMI 协议反连检测 fastjson 漏洞,使用精心构造的 payload 支持 1.2.47 以下全版本高危漏洞检测
通过类型注入,在 poc 中可以直接使用 request/response 的语法编写表达式,简单直观
2019.11
支持字典爆破,API 获取,域传送三种方式收集子域名, 自带炫酷 ConsoleUI
2019.10
社区版中将集成部分商业版中的精品插件,尤其是热门框架历史漏洞的扫描,社区可以通过提交 POC、参与 xray 举办的活动等方式获得高级版。 本月高级版内置 struts 历史漏洞检测插件和 ThinkPHP 历史漏洞检测插件。
2019.08
支持通过基础爬虫一键扫描目标,已经支持被动代理、普通爬虫、单url等多种方式
基于语义分析的 XSS 检测,发包量极少,漏误报极低,甚至可以过 WAF
2019.07
通过编写 YAML 格式的检测脚本,可以自行为 xray 拓展扫描能力,从此开启社区新纪元
2019.06
基于 HTTP 的被动代理扫描, 支持SQL 注入检测、命令注入检测、任意重定向检测、模块路径遍历检测等, 并开始了快速迭代更新的道路