[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"project-8618":3},{"id":4,"name":5,"fullName":6,"owner":7,"repo":5,"description":8,"homepage":9,"htmlUrl":10,"language":11,"languages":10,"totalLinesOfCode":10,"stars":12,"forks":13,"watchers":14,"openIssues":15,"contributorsCount":16,"subscribersCount":16,"size":16,"stars1d":17,"stars7d":18,"stars30d":19,"stars90d":16,"forks30d":16,"starsTrendScore":20,"compositeScore":21,"rankGlobal":10,"rankLanguage":10,"license":22,"archived":23,"fork":23,"defaultBranch":24,"hasWiki":23,"hasPages":25,"topics":26,"createdAt":10,"pushedAt":10,"updatedAt":34,"readmeContent":35,"aiSummary":36,"trendingCount":16,"starSnapshotCount":16,"syncStatus":17,"lastSyncTime":37,"discoverSource":38},8618,"xray","chaitin\u002Fxray","chaitin","一款长亭自研的完善的安全评估工具，支持常见 web 安全问题扫描和自定义 poc | 使用之前务必先阅读文档","https:\u002F\u002Fdocs.xray.cool",null,"Vue",11600,1871,208,64,0,2,14,54,11,86.22,"Other",false,"master",true,[27,28,29,30,31,32,33],"passive-vulnerability-scanner","poc","security","sqlinjection","vulnerability","vulnerability-scanner","xss","2026-06-12 04:00:40","\u003Ch1 align=\"center\">Welcome to xray 👋\u003C\u002Fh1>\n\u003Cp align=\"center\">\n  \u003Cimg src=\"https:\u002F\u002Fimg.shields.io\u002Fgithub\u002Frelease\u002Fchaitin\u002Fxray.svg\" \u002F>\n  \u003Cimg src=\"https:\u002F\u002Fimg.shields.io\u002Fgithub\u002Frelease-date\u002Fchaitin\u002Fxray.svg?color=blue&label=update\" \u002F>\n  \u003Cimg src=\"https:\u002F\u002Fimg.shields.io\u002Fbadge\u002Fgo report-A+-brightgreen.svg\" \u002F>\n  \u003Ca href=\"https:\u002F\u002Fdocs.xray.cool\u002F\">\n    \u003Cimg alt=\"Documentation\" src=\"https:\u002F\u002Fimg.shields.io\u002Fbadge\u002Fdocumentation-yes-brightgreen.svg\" target=\"_blank\" \u002F>\n  \u003C\u002Fa>\n\u003C\u002Fp>\n\n\u003Ch3 align=\"center\">一款功能强大的安全评估工具 \u003C\u002Fh3>\n\n\u003Cp align=\"center\">\n  \u003Ca href=\"https:\u002F\u002Fdocs.xray.cool\">🏠使用文档\u003C\u002Fa> •\n  \u003Ca href=\"https:\u002F\u002Fgithub.com\u002Fchaitin\u002Fxray\u002Freleases\">⬇️xray下载\u003C\u002Fa> •\n  \u003Ca href=\"https:\u002F\u002Fgithub.com\u002Fchaitin\u002Fxpoc\">⬇️xpoc下载\u003C\u002Fa> •\n  \u003Ca href=\"https:\u002F\u002Fgithub.com\u002Fchaitin\u002Fxapp\">⬇️xapp下载\u003C\u002Fa> •\n  \u003Ca href=\"https:\u002F\u002Fgithub.com\u002Fchaitin\u002Fxray-plugins\">📖插件存储库\u003C\u002Fa>\n\u003C\u002Fp>\n\n[**English Version**](.\u002FREADME_EN.md)\n\n> 注意：xray系列不开源，直接下载构建的二进制文件即可，仓库内主要为社区贡献的 poc，每次 xray 发布将自动打包。\n\n## ✨ xray2.0\n\n为了解决 xray 1.0在功能增加过程中变得复杂且臃肿的问题，我们推出了 xray 2.0。\n\n这一全新版本致力于提升功能使用的流畅度，降低使用门槛，并帮助更多安全行业从业者以更高效的模式收获更好的体验。xray 2.0 将整合一系列新的安全工具，形成一个全面的安全工具集。\n\n**xray2.0系列的第二款工具xapp已经上线，欢迎体验！**\n\n### XPOC\n\nxpoc是xray2.0系列的第一款工具，它是一款为供应链漏洞扫描设计的快速应急响应工具\n\n项目地址：https:\u002F\u002Fgithub.com\u002Fchaitin\u002Fxpoc\n\n### XAPP\n\nxapp是一款专注于web指纹识别的工具。你可以使用xapp对web目标所使用的技术进行识别，为安全测试做好准备。\n\n项目地址：https:\u002F\u002Fgithub.com\u002Fchaitin\u002Fxapp\n\n### 插件存储库\n\n我们为各类插件创建了一个专门的存储库，旨在方便大家共享和使用各种插件。\n\n这里主要收录的是开源的、转化成 xray格式的脚本，以供大家使用。\n\n我们会不定期地往这里推送一些新的插件，同时也希望大家能积极踊跃的优化或者提交插件，共同丰富这个仓库。\n\n项目地址：https:\u002F\u002Fgithub.com\u002Fchaitin\u002Fxray-plugins\n\n## 🚀 快速使用\n\n**在使用之前，请务必阅读并同意 [License](https:\u002F\u002Fgithub.com\u002Fchaitin\u002Fxray\u002Fblob\u002Fmaster\u002FLICENSE.md) 文件中的条款，否则请勿安装使用本工具。**\n\n1. 使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描\n    \n    ```bash\n    xray webscan --basic-crawler http:\u002F\u002Fexample.com --html-output vuln.html\n    ```\n\n2. 使用 HTTP 代理进行被动扫描\n    \n    ```bash\n    xray webscan --listen 127.0.0.1:7777 --html-output proxy.html\n    ```\n   设置浏览器 http 代理为 `http:\u002F\u002F127.0.0.1:7777`，就可以自动分析代理流量并扫描。\n   \n   >如需扫描 https 流量，请阅读下方文档 `抓取 https 流量` 部分\n\n3. 只扫描单个 url，不使用爬虫\n    \n    ```bash\n    xray webscan --url http:\u002F\u002Fexample.com\u002F?a=b --html-output single-url.html\n    ```\n\n4. 手动指定本次运行的插件\n   \n   默认情况下，将会启用所有内置插件，可以使用下列命令指定本次扫描启用的插件。\n   \n   ```bash\n   xray webscan --plugins cmd-injection,sqldet --url http:\u002F\u002Fexample.com\n   xray webscan --plugins cmd-injection,sqldet --listen 127.0.0.1:7777\n   ```\n      \n5. 指定插件输出\n\n    可以指定将本次扫描的漏洞信息输出到某个文件中:\n    \n    ```bash\n    xray webscan --url http:\u002F\u002Fexample.com\u002F?a=b \\\n    --text-output result.txt --json-output result.json --html-output report.html\n    ```\n    \n    [报告样例](https:\u002F\u002Fdocs.xray.cool\u002Fassets\u002Freport_example.html)\n\n其他用法请阅读文档： https:\u002F\u002Fdocs.xray.cool\n\n## 🪟 检测模块\n\n新的检测模块将不断添加\n\n| 名称             | Key              | 版本  | 说明                                                                              |\n|----------------|------------------|-----|---------------------------------------------------------------------------------|\n| XSS漏洞检测        | `xss`            | 社区版 | 利用语义分析的方式检测XSS漏洞                                                                |\n| SQL 注入检测       | `sqldet`         | 社区版 | 支持报错注入、布尔注入和时间盲注等                                                               |\n| 命令\u002F代码注入检测      | `cmd-injection`  | 社区版 | 支持 shell 命令注入、PHP 代码执行、模板注入等                                                    |\n| 目录枚举           | `dirscan`        | 社区版 | 检测备份文件、临时文件、debug 页面、配置文件等10余类敏感路径和文件                                           |\n| 路径穿越检测         | `path-traversal` | 社区版 | 支持常见平台和编码                                                                       |\n| XML 实体注入检测     | `xxe`            | 社区版 | 支持有回显和反连平台检测                                                                    |\n| poc 管理         | `phantasm`       | 社区版 | 默认内置部分常用的 poc，用户可以根据需要自行构建 poc 并运行。文档：[POC](https:\u002F\u002Fdocs.xray.cool\u002F#\u002Fguide\u002Fpoc) |\n| 文件上传检测         | `upload`         | 社区版 | 支持常见的后端语言                                                                       |\n| 弱口令检测          | `brute-force`    | 社区版 | 社区版支持检测 HTTP 基础认证和简易表单弱口令，内置常见用户名和密码字典                                          |\n| jsonp 检测       | `jsonp`          | 社区版 | 检测包含敏感信息可以被跨域读取的 jsonp 接口                                                       |\n| ssrf 检测        | `ssrf`           | 社区版 | ssrf 检测模块，支持常见的绕过技术和反连平台检测                                                      |\n| 基线检查           | `baseline`       | 社区版 | 检测低 SSL 版本、缺失的或错误添加的 http 头等                                                    |\n| 任意跳转检测         | `redirect`       | 社区版 | 支持 HTML meta 跳转、30x 跳转等                                                         |\n| CRLF 注入        | `crlf-injection` | 社区版 | 检测 HTTP 头注入，支持 query、body 等位置的参数                                                |\n| XStream漏洞检测    | `xstream`        | 社区版 | 检测XStream系列漏洞                                                                   |\n| Struts2 系列漏洞检测 | `struts`         | 高级版 | 检测目标网站是否存在Struts2系列漏洞，包括s2-016、s2-032、s2-045、s2-059、s2-061等常见漏洞                 |\n| Thinkphp系列漏洞检测 | `thinkphp`       | 高级版 | 检测ThinkPHP开发的网站的相关漏洞                                                            |\n| shiro反序列化漏洞检测  | `shiro`          | 高级版 | 检测Shiro反序列化漏洞                                                                   |\n| fastjson系列检测   | `fastjson`       | 高级版 | 检测fastjson系列漏洞                                                                  |\n\n\n## ⚡️ 进阶使用\n\n下列高级用法请查看 https:\u002F\u002Fdocs.xray.cool\u002F 使用。\n\n - 修改配置文件\n - 抓取 https 流量\n - 修改 http 发包配置\n - 反连平台的使用\n - ...\n\n## 😘 贡献 POC\n\nxray的进步离不开各位师傅的支持，秉持着互助共建的精神，为了让我们共同进步，xray也开通了“PoC收录”的渠道！在这里你将会得到：\n\n### 提交流程\n\n1. 贡献者以 PR 的方式向 github xray 社区仓库内提交， POC 提交位置: https:\u002F\u002Fgithub.com\u002Fchaitin\u002Fxray\u002Ftree\u002Fmaster\u002Fpocs, 指纹识别脚本提交位置: https:\u002F\u002Fgithub.com\u002Fchaitin\u002Fxray\u002Ftree\u002Fmaster\u002Ffingerprints\n2. PR 中根据 Pull Request 的模板填写 POC 信息\n3. 内部审核 PR，确定是否合并入仓库\n4. 但需要注意，如果想要获得POC的奖励，需要将你的POC提交到CT stack，才能获取到奖励\n\n### 丰厚的奖励\n\n- 贡献PoC将获得**丰厚的金币奖励**，成就感满满；\n- **丰富的礼品**兑换专区，50余种周边礼品任你挑选；\n- 定期更有京东卡上线兑换，离**财富自由**又近了一步；\n- 进入核心社群的机会，领取特殊任务，赚取**高额赏金**；\n\n### 完善的教程\n\n- 完善的**PoC编写教程和指导**，让你快速上手，少走弯路；\n\n### 学习与交流\n\n- **与贡献者、开发者面对面**学习交流的机会，各项能力综合提高；\n- 免笔试的**直通面试机会**，好工作不是梦；\n\n如果你已经成功贡献过PoC但是还没有进群，请添加客服微信：\n\n\u003Cimg src=\".\u002Fasset\u002Fcustomer_service.png\" height=\"200px\">\n\n提供平台注册id进行验证，验证通过后即可进群！\n\n参照: https:\u002F\u002Fdocs.xray.cool\u002F#\u002Fguide\u002Fcontribute\n\n## 🔧周边生态\n\n### POC质量确认靶场\n\n[**Evil Pot**](https:\u002F\u002Fgithub.com\u002Fchaitin\u002Fxray\u002Ftree\u002Fmaster\u002Ftests\u002Fevilpot)\n\n[Releases](https:\u002F\u002Fgithub.com\u002Fchaitin\u002Fxray\u002Freleases?q=EvilPot&expanded=true)\n\n一个专门用于让扫描器产生误报的靶场\n\n编写插件应该尽量避免能在这个靶场扫描出结果\n\n### POC编写辅助工具\n\n该工具可以辅助生成POC，且在线版支持**poc查重**，本地版支持直接发包验证\n\n#### 在线版\n- [**规则实验室**](https:\u002F\u002Fpoc.xray.cool)\n- 在线版支持对**poc查重**\n#### 本地版\n- [**gamma-gui**](https:\u002F\u002Fgithub.com\u002Fzeoxisca\u002Fgamma-gui)\n\n### xray gui辅助工具\n\n本工具仅是简单的命令行包装，并不是直接调用方法。在 xray 的规划中，未来会有一款真正的完善的 GUI 版 XrayPro 工具，敬请期待。\n\n- [**super-xray**](https:\u002F\u002Fgithub.com\u002F4ra1n\u002Fsuper-xray)\n\n## 📝 讨论区\n\n各位开发者和 xray 粉丝们，欢迎来[讨论区投票](https:\u002F\u002Fgithub.com\u002Fchaitin\u002Fxray\u002Fdiscussions\u002F1804)，决定 xray 2.0 工具的开发优先级，让你的声音塑造 xray 的未来！ 🚀\n\n提交误报漏报需求等等请务必先阅读 https:\u002F\u002Fdocs.xray.cool\u002F#\u002Fguide\u002Ffeedback\n\n如有问题可以在 GitHub 提 issue, 也可在下方的讨论组里\n\n1. GitHub:\n   - https:\u002F\u002Fgithub.com\u002Fchaitin\u002Fxray\u002Fissues\n   - https:\u002F\u002Fgithub.com\u002Fchaitin\u002Fxray\u002Fdiscussions\n\n2. 微信公众号：微信扫描以下二维码，关注我们\n\n    \u003Cimg src=\".\u002Fasset\u002Fwechat.jpg\" height=\"200px\">\n\n3. 微信群: 请添加微信公众号并点击\"联系我们\" -> \"加群\"，然后扫描二维码加群\n\n4. QQ 群: 717365081\n\n## Star History\n\n[![Star History Chart](https:\u002F\u002Fapi.star-history.com\u002Fsvg?repos=chaitin\u002Fxray&type=Date)](https:\u002F\u002Fstar-history.com\u002F#chaitin\u002Fxray&Date)\n","xray是一款由长亭科技自主研发的安全评估工具，支持常见的web安全问题扫描和自定义POC。其核心功能包括被动漏洞扫描、SQL注入检测、XSS漏洞检测等，并且可以通过插件扩展更多功能。该工具使用Vue构建界面，具备强大的可配置性和易用性，能够帮助安全从业者高效地进行安全测试与评估。适用于需要对网站或Web应用进行全面安全检查的场景，如渗透测试、安全审计等。用户可以根据具体需求选择不同的扫描模式，例如基础爬虫扫描、HTTP代理监听或是单个URL扫描，并且可以灵活指定本次运行所使用的插件以及输出格式。","2026-06-11 03:18:57","top_language"]