X-RAY是一種功能強(qiáng)大的安全檢測工具，由許多經(jīng)驗(yàn)豐富的一線安全從業(yè)者精心打造而成，小編來為大家講講其主要特點(diǎn)有哪些。

檢測速度快。發(fā)包速度快，檢測漏洞的高效算法；

支持范圍廣。大至OWASP Top 10通用漏洞檢測，小至各種CMS框架POC，均可以支持；

代碼質(zhì)量高。編寫代碼的人員素質(zhì)高, 通過Code Review、單元測試、集成測試等多層驗(yàn)證來提高代碼可靠性；

高級(jí)可定制。引擎的各種參數(shù)通過配置文件暴露出來，通過對(duì)配置文件的修改，可以具有很大的客制化功能；

X-RAY定位為安全輔助評(píng)估工具，而不是攻擊工具，所有內(nèi)置的payload和poc都是無害的。

目前支持的漏洞檢測類型包括:

XSS漏洞檢測 (key: xss)

SQL 注入檢測 (key: sqldet)

命令/代碼注入檢測 (key: cmd-injection)

目錄枚舉 (key: dirscan)

路徑穿越檢測 (key: path-traversal)

XML 實(shí)體注入檢測 (key: xxe)

文件上傳檢測 (key: upload)

弱口令檢測 (key: brute-force)

jsonp 檢測 (key: jsonp)

ssrf 檢測 (key: ssrf)

基線檢查 (key: baseline)

任意跳轉(zhuǎn)檢測 (key: redirect)

CRLF 注入 (key: crlf-injection)

Struts2 系列漏洞檢測 (高級(jí)版，key: struts)

Thinkphp系列漏洞檢測 (高級(jí)版，key: thinkphp)

POC 框架 (key: phantasm)

其中，POO框架默認(rèn)為GitHub上貢獻(xiàn)的POC，用戶可根據(jù)需要構(gòu)建poc。

X-RAY設(shè)計(jì)理念：（1）發(fā)送最低限度的袋子進(jìn)行最佳檢測如果一個(gè)請(qǐng)求可以確定存在漏洞，請(qǐng)發(fā)送一個(gè)請(qǐng)求，如果兩個(gè)漏洞可以通過同一個(gè)可選護(hù)理環(huán)境檢測到，請(qǐng)不要將它們分成兩個(gè)；（2）在一定程度上允許虛假報(bào)告，以換取掃描速度的改進(jìn)。如果在使用中發(fā)現(xiàn)虛假報(bào)告嚴(yán)重，可以給出反饋；（3）盡量不要使用時(shí)間盲目注釋等機(jī)制來檢測漏洞，時(shí)間檢測受影響的因素太多，無法控制，可能會(huì)影響其他插件的運(yùn)行。因此，除非有必要，否則請(qǐng)嘗試使用與時(shí)間無關(guān)的支持；（4）盡量不要使用盲打平臺(tái)，因?yàn)槊ご蚱脚_(tái)增加了漏洞檢測過程的不確定性和復(fù)雜性；（5）耗時(shí)操作謹(jǐn)慎處理全局使用 Context 做管理，不會(huì)因?yàn)槟硞€(gè)請(qǐng)求而導(dǎo)致全局卡死。

深圳市卓茂科技有限公司是一家集研發(fā)、生產(chǎn)、銷售為一體的國家級(jí)高新技術(shù)企業(yè)、榮獲國家專精特新“小巨人”企業(yè)、最具潛力的深圳知名品牌。公司已取得國家認(rèn)定的自主知識(shí)產(chǎn)權(quán)證書、發(fā)明和實(shí)用新型專利及相關(guān)資質(zhì)證書等120余項(xiàng)，卓茂科技專注于智能檢測、智能焊接設(shè)備17年。