最近几个月都在忙这个 XRAY 安全评估工具,直到有好心人提醒我本站的 ssl 证书过期了才想起来好久没写文章了。
在 2016 年的 7 月 7 号,长亭科技四周年的大好日子,我们发布了两款新产品,洞鉴 和 牧云。洞鉴 以资产管理、安全评估、漏洞管理为中心,来解决传统漏洞扫描产品不够贴近业务场景,很难做好安全闭环的问题;牧云 则是站在服务器的角度,为云平台提供更加强有力的安全支撑。这两款新产品的诞生填补了长亭在应用安全解决方案中的一大空缺。
在洞鉴发布后的一年里,我们收到了许多使用者的反馈,收获了不少客户的认可。与此同时,也在迭代的过程中,发现与总结出了许多问题和不足之处。也很多次有朋友联系到我们,咨询如何以个人的身份体验一次洞鉴的功能,但由于业务模式的缘故,我只能遗憾地拒绝了他们。
作为一家专心致志做技术、做产品的公司,我们抱着技术属于整个行业的态度,不愿意受到 ToB 商业模式的限制,非常愿意让更多的安全从业者使用我们的产品。在过去的几年中,我们开源了雷池的语义分析算法生成引擎,开源了牧云的核心技术,开源了许多我们内部的小工具,今天我们会以社区版工具的形式开放(非开源)洞鉴的核心能力,让更多的朋友和我们一起为更先进的漏洞扫描算法努力。
下载地址 https://github.com/chaitin/xray
文档 http://chaitin.github.io/xray/
目前支持的检测模块有
- SQL 注入检测 (key: sqldet)
支持报错注入、布尔注入和时间盲注等
- 命令/代码注入检测 (key: cmd_injection)
支持 shell 命令注入、PHP 代码执行、模板注入等
- 目录枚举 (key: dirscan)
检测备份文件、临时文件、debug 页面、配置文件等10余类敏感路径和文件
- 路径穿越检测 (key: path_traversal)
支持常见平台和编码
- XML 实体注入检测 (key: xxe)
支持有回显和反连平台检测
- poc 管理 (key: phantasm)
默认内置部分常用的 poc,用户可以根据需要自行构建 poc 并运行。文档:https://chaitin.github.io/xray/#/guide/poc
- 文件上传检测 (key: upload)
支持常见的后端语言
- 弱口令检测 (key: brute_force)
社区版支持检测 HTTP 基础认证和简易表单弱口令,内置常见用户名和密码字典
- jsonp 检测 (key: jsonp)
检测包含敏感信息可以被跨域读取的 jsonp 接口
- ssrf 检测 (key: ssrf)
ssrf 检测模块,支持常见的绕过技术和反连平台检测
- 基线检查 (key: baseline)
检测低 SSL 版本、缺失的或错误添加的 http 头等
- 任意跳转检测 (key: redirect)
支持 HTML meta 跳转、30x 跳转等
- CRLF 注入 (key: crlf_injection)
检测 HTTP 头注入,支持 query、body 等位置的参数
当然商业版是支持更多的模块和 POC 的,如果有任何使用上的问题,可以查看文档上的反馈方式,和我们交流。