Skip to content

XRAY 1.0.0
Compare
Choose a tag to compare
@virusdefender virusdefender released this 13 Jun 01:58
· 335 commits to master since this release
1.0.0
fcdce56

我们在去年的今天发布了 xray 0.1.0 版本,一年的时间内,我们发布了 43 个版本,公开收集了 157 个 poc,已经成为安全社区最好用的工具之一。

为了感谢大家对 xray 的支持,一周年特别准备了"阳光普照奖" : 扫码关注 xray 社区公众号,回复 "高级版领取",即可得到两个月有效期的 xray 高级版。

注意:下载后需要将文件名手动改为 xray-license.lic,放置在 xray 二进制同一目录并删除之前的配置文件才能使用高级版的全部功能。

qrcode_for_gh_a5a18dced368_258

以下为 xray 一周年纪念版的更新内容

Features:

  • 重新打造企业级子域名收集模块,在高级版中提供体验
    • 智能 dns server 调度算法,保证扫描可靠性和稳定性,同时保持低资源占用
    • 集成爆破、api、html 页面、js 分析、域传送等多种收集模块
    • 新增子域名 webhook、json 和 html 报告文件输出
  • http 客户端支持配置多个代理、根据域名切换代理、根据权重进行代理负载均衡等,使用方法见 https://xray.cool/xray/#/configration/http
  • 命令注入模块增加非注入型代码执行检测
  • fastjson 模块增加部分 waf 绕过 payload
  • 优化 jsonp、thinkphp 等模块的实现
  • dirscan 支持根据 url 动态生成 payload,比如访问 s.php 将会尝试扫描 .s.php.swp 等敏感文件
  • dirscan 支持 sourcemap 泄露扫描
  • windows 二进制文件增加图标

Bugfixes:

  • 修复 sql 注入、bruteforce 等模块中的一些问题
  • 修复 fastjson 报告输出中,没有 request body 的问题
  • 修复 tomcat-cve-2017-12615-rcetongda-lfi-upload-rce 等 poc 的误报
  • 修复 json 参数解析和替换的一些问题
  • 修复 html 报告中 url 过长导致页面溢出的问题

Changes:

  • 移除交互式 shell 功能
  • 使用全新的配置文件格式,旧版本的配置将不再兼容,需要备份删除,xray 将自动生成新版配置文件
    • 修改了 http 配置,支持配置多个代理
    • 修改了 http 配置,将 header 与 cookie 配置项合并和简化
    • 隐藏了 baseline 中部分意义不大的选项
Assets 10
Loading