长亭 Xray Web 漏洞扫描器实战指南

⚠️ 安全提示：以下演示请在本地靶场（如 DVWA, Vulhub）或已授权的环境中进行。

场景一：被动扫描（推荐入门）

通过拦截浏览器流量实时检测漏洞。

1. 启动 Xray 监听本地 7777 端口，并指定输出报告文件名。
2. 配置浏览器代理为 127.0.0.1:7777。
3. 正常浏览网站，Xray 会自动分析。

# Windows
.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output report_passive.html

# Linux / macOS
./xray webscan --listen 127.0.0.1:7777 --html-output report_passive.html

• --listen: 指定监听地址和端口。
• --html-output: 扫描结束后生成可视化的 HTML 报告。

场景二：主动扫描（快速摸底）

对指定 URL 进行全自动爬虫和漏洞检测。

# 基础扫描：扫描单个 URL
./xray webscan --url http://testphp.vulnweb.com/ --html-output report_active.html

# 进阶扫描：指定插件模块（只扫 SQL 注入和 XSS，加快速度）
./xray webscan --url http://testphp.vulnweb.com/ --plugins sqldet,xss --html-output report_fast.html

# 深度扫描：增加爬虫深度（默认较浅，可调大）
./xray webscan --url http://testphp.vulnweb.com/ --max-depth 5 --html-output report_deep.html

• --url: 指定目标起始网址。
• --plugins: 指定只运行某些检测插件（逗号分隔），如 sqldet, xss, cmd-injection 等。
• --max-depth: 控制爬虫爬取的深度，防止无限爬取。

场景三：与 Burp Suite 联动

利用 Burp 强大的抓包改包能力，结合 Xray 的自动化检测能力。

原理：浏览器 -> Burp (Proxy) -> Xray (Proxy) -> 目标服务器。

1. 启动 Xray（监听 7777）：

   ./xray webscan --listen 127.0.0.1:7777 --html-output report_burp.html
   

2. 配置 Burp Suite：打开 Burp -> Proxy -> Options -> Upstream Proxy Servers。添加规则：匹配所有主机 (.*)，指向 127.0.0.1:7777。
3. 配置浏览器：浏览器代理指向 Burp (通常是 127.0.0.1:8080)。
4. 开始测试：在 Burp 中修改数据包发送或让 Burp 自动爬虫，流量会经过 Xray 检测。

场景四：高级参数配置

Xray 的强大在于其配置文件，可以精细控制扫描行为。

# 使用自定义配置文件
./xray webscan --url http://target.com --config my_config.yaml --html-output result.html

# 只输出 JSON 格式结果（便于对接 CI/CD 或自动化平台）
./xray webscan --url http://target.com --json-output result.json

# 限制扫描速率，防止把目标扫挂 (QPS 限制)
./xray webscan --url http://target.com --rate-limit 10 --html-output safe_report.html

高级技巧：自定义 POC 与联动

编写自定义 POC

当爆发新漏洞时，官方规则可能未及时更新，你可以自己写。Xray 使用 YAML 格式编写 POC。

示例：检测一个简单的回显型命令注入 创建文件 my_poc.yaml：

name: poc-yaml-custom-cmd-injection
rules:
  method: GET
  path: /ping?ip=127.0.0.1;whoami
  expression: response.body.bcontains(b"root") || response.body.bcontains(b"user")
detail:
  author: your_name
  description: 自定义命令注入检测

运行命令加载自定义 POC：

./xray webscan --url http://target.com --plugins my_poc.yaml --html-output custom_report.html

或者将 poc 放入 plugins 目录，默认会自动加载。

搭配 Radium 爬虫

如果 Xray 自带的爬虫不够强，可以先用 Radium 爬取所有链接，再喂给 Xray。

# 使用 Radium 爬取链接并保存
./radium --url http://target.com --output links.txt

# 使用 Xray 批量扫描这些链接
cat links.txt | xargs -I{} ./xray webscan --url {} --html-output batch_{}.html

报告解读与误报处理

扫描完成后，打开生成的 .html 报告：

1. 概览：查看漏洞总数、风险等级分布（高/中/低/提示）。
2. 详情：点击具体漏洞，查看请求包 (Request)、响应包 (Response)。重点看高亮部分，这是判断漏洞是否成立的依据。
3. 误报处理：
   • 如果确认是误报，可在配置文件的 blacklist 中添加特征，或在自定义 POC 中优化表达式。
   • 常见误报原因：WAF 拦截返回特定页面、动态内容随机变化。

常见问题 FAQ

Q1: 扫描 HTTPS 网站报错或没反应？ A: 必须生成并信任 Xray 的 CA 证书。运行 ./xray genca，然后将生成的 ca.crt 导入操作系统和浏览器的'受信任的根证书颁发机构'。

Q2: 扫描速度太慢怎么办？ A:

1. 使用 --plugins 参数只开启需要的检测模块。
2. 如果是内网，检查网络延迟。
3. 调整 --rate-limit 参数（适当调大，但别把目标扫崩）。

Q3: 为什么有些明显的漏洞扫不出来？ A:

1. 漏洞位于深层逻辑，需要特定参数或登录状态（建议使用被动扫描，人工登录后让流量经过 Xray）。
2. 目标有 WAF 拦截了探测 Payload。
3. 这是一个逻辑漏洞，而非通用技术漏洞（通用扫描器很难检测逻辑漏洞）。

Q4: 可以在生产环境直接使用吗？ A: 谨慎！虽然 Xray 的 Payload 是无害的，但高并发扫描仍可能导致服务不稳定。务必先在测试环境验证，并在生产环境限制扫描速率（--rate-limit），最好避开业务高峰期。

工具只是辅助，核心在于人的思维。