xray 是一款功能强大的安全评估工具，由多名经验丰富的一线安全从业者呕心打造而成，主要特性有:

• 检测速度快。发包速度快; 漏洞检测算法高效。
• 支持范围广。大至 OWASP Top 10 通用漏洞检测，小至各种 CMS 框架 POC，均可以支持。
• 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
• 高级可定制。通过配置文件暴露了引擎的各种参数，通过修改配置文件可以极大的客制化功能。
• 安全无威胁。xray 定位为一款安全辅助评估工具，而不是攻击工具，内置的所有 payload 和 poc 均为无害化检查。

安装

• https://github.com/chaitin/xray/releases/

根据你的系统选择适合你的版本。

与burpsuite联动

xray.exe webscan --listen 127.0.0.1:7777 --html-output 0day.html

如上图所示就表示你成功了，接下来配置burpsuite。

进入 Burp 后，打开 User options 标签页，然后找到 Upstream Proxy Servers 设置。

点击 Add 添加上游代理以及作用域，Destination host处可以使用*匹配多个任意字符串，?匹配单一任意字符串，而上游代理的地址则填写xray的监听地址。

测试一下联动是否正常

与awvs联动

xray.exe webscan --listen 127.0.0.1:7777 --html-output 0day.html

运行xray，在awvs里添加目标

如果xray有类似下图所示，就表示成功了

最后会将结果保存到html中，虽然漏洞数量不如专业漏扫awvs，但的确方便好使😀

xray的确方便了很多渗透测试流程，也是一款良心工具。

更多详情，关注官方文档 https://docs.xray.cool/#/