其实针对可能会造成危害的情形,在洞鉴(X-Ray)系统中都针对性地做了特殊处理,可以说我们的 POC 在验证漏洞时是对正常业务完全无害的。类似的处理比如 : - 在探测 delete、drop 类型的 sql 注入漏洞时,我们虽然会验证漏洞,但是不会添加类似把用户信息删掉的 payload - 在探测 DOS 漏洞时,洞鉴不存在 DOS 客户服务的
代码质量高。编写代码的人员素质高, 通过Code Review、单元测试、集成测试等多层验证来提高代码可靠性; 高级可定制。引擎的各种参数通过配置文件暴露出来,通过对配置文件的修改,可以具有很大的客制化功能; X-RAY定位为安全辅助评估工具,而不是攻击工具,所有内置的payload和poc都是无害的。 目前支持的漏洞检测类型包括:...
洞鉴(X-Ray)采用业务场景精细化语义分析、自启发式漏洞检测算法和 POC 验证式漏洞检测技术,对每个漏洞进行真实验证,避免误报的产生:利用专业安全攻防人员的经验和知识,针对业务场景进行精细化分析,深度遍历每个可能存在漏洞的位置,通过向目标系统发送真实的无害“攻击”载荷,分析目标系统变化和返回内容,判断是否存在漏洞...
关键技术1: POC原理验证漏洞,创新插件检测技术 本质上都是 OGNL 表达式注入,采用统一验证规则进行原理检测,达到事半功倍的检测效果。 产品优势3_快速精准漏洞扫描 产品优势4_自动智能漏洞检测 关键技术1:内置盲打平台,自动验证无回显漏洞 什么是盲打盲注? 渗透测试时,安全工程师对目标站点进行注入、上传文件等操作时,...
所有的检测POC集成在xray的pocs目录中,相当于把网上的一下公开的漏洞信息整理到这个库中去了 三、简单使用示例 使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描 本示例使用的是windows版本的,windows版本的直接是一个exe文件 需要进入cmd界面,输入命令 xray_windows_amd64 webscan --basic-crawler URL --html-outp...
一、下载地址 https://github.com/chaitin/xray/releases 二、工具简单介绍 在首页有使用文档,可以查看 所有的检测POC集成在xray的pocs目录中,相当于把网上的一下公开的漏洞信息整理到这个库中去了 三、简单使用示例 使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描 本示例使用的是windows版本的,windows版本的直接...
自研POC或通用插件400+,漏洞库14万+,支持专项漏洞设置与检测,包括但不限于:系统组件虚拟化、大数据、物联网、数据库、中间件、网络设备等专项漏洞。 3、优秀的扫描策略能力 ◢ 基于场景精细化扫描 自启发式漏洞检测 ◢ 新型爬虫、提高目标网站URL发现率 ...
As can be seen, the CNNs outperform the human operators and, at least in this limited PoC test, achieve a 100% true positive rate. As an additional test, we repeated the process after removing the dark-field images: this resulted in a decrease of about 11% in precision and around 20%...
针对漏洞检测中企业非常关心的问题,直接验证漏洞、利用漏洞是否会对网站或服务器造成危害,洞鉴也进行了针对性特殊处理,基本可以达到对正常业务完全无害的效果,最新的优化还加入大批量漏洞检测POC,同时上线基线配置核查。 同期,长亭还推出社区免费版xray扫描器,目前已成为3000多名白帽子日常使用的漏洞扫描工具。作为GitHub...
The results demonstrate that 1) although FOPD is theoretically more rigorous than steepest descent for TV minimization, no significant advantage of FOPD over ASD is observed; 2) the weighted least-squares criterion is better suited than the least-squares that was used in the original ASD-POCS ...