Xray是长亭6月份放出的漏扫工具，个人感觉比其他扫描器要好用一些，支持被动扫描和主动扫描，操作方便。这里演示下被动扫描的步骤。

首先是环境准备，直接从下面链接下载最新版本的xray

网盘下载链接:

 https://yunpan.360.cn/surl_y3Gu6cugi8u

Github 链接: 

https://github.com/chaitin/xray/releases

这里下载windows版本的，解压好

打开命令行切到该目录下，运行下面的命令生成证书和配置文件

xray_windows_amd64.exe genca

安装证书这里就不再演示了，跟burp安装证书一样，配置文件一般也默认就可以。

然后浏览器设置一个代理，就可以进行被动扫描了（我设置的端口为8088）。运行如下命令就可以了

xray_windows_amd64.exe webscan --listen 127.0.0.1:8088 --html-output rst.html

然后我们在设置代理的浏览器访问网站，xray就会自动扫描漏洞了，效果个人觉得很好。

政策原因这里就不演示实例网站了。这里给出项目的教程，有测试演示；细节方面有兴趣的小伙伴可以自行研究。

https://chaitin.github.io/xray/#/tutorial/webscan_proxy

推荐文章++++

*熟练使用各类敏感目录文件扫描工具

*sicklepoc扫描开源