长亭 Xray Web 漏洞扫描器实战指南
Xray 是由长亭科技开源的一款高性能 Web 漏洞扫描器,核心能力源自企业级产品'洞鉴'。它基于 Go 语言开发,跨平台免安装,特别适合安全研究人员和渗透测试工程师使用。
相比传统工具,Xray 最大的优势在于误报率极低。它采用语义分析技术,特别是在 XSS 和 SQL 注入检测上表现优异。内置的 Payload 都是无害化的 Proof of Concept,只验证漏洞存在,不会破坏数据。支持用户编写 YAML 格式的自定义 POC,能快速响应新爆发的 0day 漏洞。
⚠️ 重要提示:本工具仅用于授权的安全测试、本地靶场练习或自有系统自查。未经授权扫描他人系统是违法行为。
环境准备与安装
Xray 无需复杂安装,解压即用。建议优先访问官方 GitHub 仓库下载最新版本。
- Windows:
xray_windows_amd64.zip - Linux:
xray_linux_amd64.zip - macOS:
xray_macos_amd64.zip(M1/M2 芯片请选 arm64)
Windows 快速启动
解压后直接双击 .exe 文件即可。如果需要扫描 HTTPS 流量,建议先生成 CA 证书:
.\xray_windows_amd64.exe genca
按提示将生成的 ca.crt 导入到浏览器和操作系统的'受信任的根证书颁发机构',否则无法拦截加密流量。
Linux / macOS 快速启动 解压并赋予执行权限:
unzip xray_linux_amd64.zip
chmod +x xray
./xray genca
同样需要将 ca.crt 导入系统信任库(Ubuntu 可执行 sudo cp ca.crt /usr/local/share/ca-certificates/ && sudo update-ca-certificates)。
核心工作模式详解
Xray 主要有三种使用场景,对应不同的命令模式,理解它们的区别能帮你更高效地工作。
| 模式 | 描述 | 适用场景 |
|---|---|---|
被动扫描 (webscan --listen) | 作为 HTTP 代理,监听端口,分析经过的流量 | 配合浏览器手动测试、Burp Suite 联动、爬虫工具。最常用,不漏掉复杂逻辑漏洞。 |
主动扫描 (webscan --url) | 内置简易爬虫,自动爬取目标并检测 | 快速摸底、资产普查、简单站点检测。速度快,一键操作。 |
爬虫独立模式 (radium) | 仅运行爬虫,将链接输出给其他工具 | 需要定制化处理爬虫结果的场景,灵活对接自定义检测引擎。 |
实战演示:命令大全
⚠️ 注意:以下演示请在本地靶场(如 DVWA, Vulhub)或已授权的环境中进行。
场景一:被动扫描(推荐入门)
这是最常用的方式。你配置浏览器代理指向 Xray,正常浏览网站时,Xray 会自动分析流量。
# Windows
.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output report_passive.html
# Linux / macOS
./xray webscan --listen 127.0.0.1:7777 --html-output report_passive.html
