-
Notifications
You must be signed in to change notification settings - Fork 1.8k
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Update translate to Rusian
- Loading branch information
Showing
1 changed file
with
193 additions
and
0 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,193 @@ | ||
| <h1 align="center">Добро пожаловать в xray 👋</h1> | ||
| <p> | ||
| <img src="https://img.shields.io/github/release/chaitin/xray.svg" /> | ||
| <img src="https://img.shields.io/github/release-date/chaitin/xray.svg?color=blue&label=update" /> | ||
| <img src="https://img.shields.io/badge/go report-A+-brightgreen.svg" /> | ||
| <a href="https://docs.xray.cool/#/"> | ||
| <img alt="Документация" src="https://img.shields.io/badge/документация-да-brightgreen.svg" target="_blank" /> | ||
| </a> | ||
| </p> | ||
|
|
||
|
|
||
| ## Кредит | ||
|
|
||
| **Этот перевод был сделан** [BM-TechID](https://github.com/BM-TechID) | ||
| > Не забудьте следить за нашим профилем, Спасибо. | ||
| [**Английская версия**](./README_EN.md) | ||
|
|
||
| > Мощный инструмент оценки безопасности | ||
| ## ✨ Демо | ||
|
|
||
|  | ||
|
|
||
| 🏠[Руководство пользователя](https://docs.xray.cool) | ||
| ⬇️[Ссылка на загрузку для пользователей из Индонезии](https://stack.chaitin.com/tool/detail?id=1) | ||
| ⬇️[Ссылка на загрузку на GitHub](https://github.com/chaitin/xray/releases) | ||
|
|
||
| > Примечание: xray не является open source, просто загрузите предварительно скомпилированный двоичный файл. Этот репозиторий в основном содержит poc, внесенные сообществом, и каждый релиз xray будет автоматически упакован. | ||
| ## xray 2.0 | ||
|
|
||
| Для решения проблем сложности и избыточности xray 1.0 в процессе улучшения функциональности, мы представляем xray 2.0. | ||
|
|
||
| Новая версия направлена на улучшение плавности использования функций, снижение порога использования и помощь большему количеству специалистов по безопасности в получении лучшего опыта с более эффективным режимом. xray 2.0 будет включать в себя ряд новых инструментов безопасности, формируя комплексный набор инструментов безопасности. | ||
|
|
||
| **Первый инструмент из серии xray 2.0, xpoc, уже запущен. Удачи!** | ||
|
|
||
| - [**xpoc**](https://github.com/chaitin/xpoc) | ||
|
|
||
| ## 🚀 Быстрый старт | ||
|
|
||
| **Перед использованием ознакомьтесь и согласитесь с [Лицензией](https://github.com/chaitin/xray/blob/master/LICENSE.md) в этом файле. Если не согласны, не устанавливайте и не используйте этот инструмент.** | ||
|
|
||
| 1. Используйте базовый *crawler* для извлечения ссылок и сканирования уязвимостей. | ||
|
|
||
| ```bash | ||
| xray webscan --basic-crawler http://example.com --html-output vuln.html | ||
| ``` | ||
|
|
||
| 2. Используйте *HTTP proxy* для пассивного сканирования. | ||
|
|
||
| ```bash | ||
| xray webscan --listen 127.0.0.1:7777 --html-output proxy.html | ||
| ``` | ||
| Установите *HTTP proxy* в браузере на `http://127.0.0.1:7777` для автоматического анализа трафика через прокси и выполнения сканирования. | ||
|
|
||
| > Для сканирования трафика HTTPS ознакомьтесь с разделом "Перехват трафика HTTPS" ниже. | ||
|
|
||
| 3. Выполните сканирование только для одного URL без использования *crawler*. | ||
|
|
||
| ```bash | ||
| xray webscan --url http://example.com/?a=b --html-output single-url.html | ||
| ``` | ||
|
|
||
| 4. Укажите плагины, которые должны быть запущены вручную. | ||
|
|
||
| По умолчанию все встроенные плагины будут активированы. Вы можете использовать следующие команды для указания плагинов, которые должны быть активированы. | ||
|
|
||
| ```bash | ||
| xray webscan --plugins cmd-injection,sqldet --url http://example.com | ||
| xray webscan --plugins cmd-injection,sqldet --listen 127.0.0.1:7777 | ||
| ``` | ||
|
|
||
| 5. Укажите выходной плагин. | ||
|
|
||
| Вы можете указать место вывода информации о уязвимостях сканирования в определенный файл. | ||
|
|
||
| ```bash | ||
| xray webscan --url http://example.com/?a=b \ | ||
| --text-output result.txt --json-output result.json --html-output report.html | ||
| ``` | ||
|
|
||
| [Пример отчета](https://docs.xray.cool/assets/report_example.html) | ||
|
|
||
| Для других способов использования ознакомьтесь с документацией: https://docs.xray.cool | ||
|
|
||
| ## 🪟 Модули обнаружения | ||
|
|
||
| Новые модули обнаружения будут постоянно добавляться. | ||
|
|
||
| | Название | Ключ | Версия | Описание | | ||
| |-----------------------|------------------|------|--------------------------------------------------------------------| | ||
| | Обнаружение уязвимостей XSS | `xss` | Сообщество | Обнаружение уязвимостей XSS с использованием семантического анализа | | ||
| | Обнаружение уязвимостей SQL | `sqldet` | Сообщество | Поддержка инъекций ошибок, булевых инъекций и инъекций времени | | ||
| | Обнаружение инъекций команд/кода | `cmd-injection` | Сообщество | Поддержка инъекций команд | ||
| /кода оболочки, выполнения PHP-кода и других типов инъекций шаблонов | | ||
| | Сканирование каталогов | `dirscan` | Сообщество | Обнаружение резервных файлов, временных файлов, отладочных страниц, конфигурационных файлов и т. д. | | ||
| | Обнаружение траверсала пути | `path-traversal` | Сообщество | Поддержка платформ и общих методов кодирования | | ||
| | Обнаружение инъекций XML-сущностей | `xxe` | Сообщество | Обнаружение инъекций XML-сущностей с непосредственным ответом или инвертированными сущностями | | ||
| | Управление poc | `phantasm` | Сообщество | Содержит несколько общих poc и может быть настроен пользователями. Документация: [POC](https://docs.xray.cool/#/guide/poc) | | ||
| | Обнаружение загрузки файлов | `upload` | Сообщество | Поддерживает общие языки бэкэнда | | ||
| | Обнаружение слабых паролей | `brute-force` | Сообщество | Поддерживает обнаружение базовых HTTP-паролей и простых паролей форм, интегрированный общий список имён пользователей и паролей | | ||
| | Обнаружение JSONP | `jsonp` | Сообщество | Обнаружение JSONP-интерфейсов, содержащих чувствительную информацию, доступную для чтения через домены | | ||
| | Обнаружение SSRF | `ssrf` | Сообщество | Модуль обнаружения SSRF, поддерживающий общие методы обхода и обнаружение обратных платформ | | ||
| | Базовая проверка | `baseline` | Сообщество | Обнаружение низких версий SSL, отсутствующих или неправильных HTTP-заголовков и т. д. | | ||
| | Обнаружение свободного редиректа | `redirect` | Сообщество | Поддерживает редирект мета-тега HTML, редирект 30x и т. д. | | ||
| | Вставка CRLF | `crlf-injection` | Сообщество | Обнаружение вставок заголовков HTTP, поддерживает параметры в строке запроса, теле и т. д. | | ||
| | Обнаружение уязвимостей XStream | `xstream` | Сообщество | Обнаружение уязвимостей сериализации XStream | | ||
| | Обнаружение уязвимостей сериализации Struts2 | `struts` | Продвинутый | Обнаружение уязвимостей сериализации Struts2, включая s2-016, s2-032, s2-045, s2-059, s2-061 и т. д. | | ||
| | Обнаружение уязвимостей сериализации Thinkphp | `thinkphp` | Продвинутый | Обнаружение уязвимостей на веб-сайтах, разработанных с помощью ThinkPHP | | ||
| | Обнаружение уязвимостей сериализации Shiro | `shiro` | Продвинутый | Обнаружение уязвимостей десериализации Shiro | | ||
| | Обнаружение уязвимостей сериализации Fastjson | `fastjson` | Продвинутый | Обнаружение уязвимостей сериализации Fastjson | | ||
|
|
||
| ## ⚡️ Расширенное использование | ||
|
|
||
| Для более продвинутого использования ознакомьтесь с https://docs.xray.cool/ используя. | ||
|
|
||
| - Изменение конфигурационного файла | ||
| - Перехват трафика HTTPS | ||
| - Изменение конфигурации HTTP-отправки | ||
| - Использование обратных платформ | ||
| - ... | ||
|
|
||
| ## 😘 Вклад в POC | ||
|
|
||
| Прогресс xray невозможен без поддержки мастеров. С духом взаимопомощи, чтобы мы могли развиваться вместе, xray открывает канал "Прием POC"! Здесь вы получите: | ||
|
|
||
| ### Процедура подачи | ||
|
|
||
| 1. Конструкторы отправляют запрос, создавая PR в репозитории xray сообщества на GitHub, место подачи POC находится здесь: https://github.com/chaitin/xray/tree/master/pocs, место подачи отпечатков пальцев находится здесь: https://github.com/chaitin/xray/tree/master/fingerprints | ||
| 2. Внутри PR заполните информацию о POC в соответствии с шаблоном Pull Request. | ||
| 3. PR будет внутренне проверен для определения того, должен ли он быть включен в репозиторий. | ||
| 4. Обратите внимание, что если вы хотите получить награду за представленный POC, вам нужно отправить свой POC на CT stack, чтобы получить награду. | ||
|
|
||
| ### Богатые награды | ||
|
|
||
| - Конструкторы POC получат **богатые золотые монеты**, приносящие ощущение достижения. | ||
| - Обширный и разнообразный выбор обмена наградами, с более чем 50 вариантами мерчандайзинга на выбор. | ||
| - Регулярные предложения карт JD (Jingdong) для обмена, приближающие к **финансовой свободе**. | ||
| - Возможность входа в основное сообщество, взятие на себя специальные задачи и получение **высоких вознаграждений**. | ||
|
|
||
| ### Полное руководство | ||
|
|
||
| - **Подробное руководство по созданию и тестированию POC**, помогающее вам быстро разобраться и избежать ошибок. | ||
|
|
||
| ### Обучение и обмен опытом | ||
|
|
||
| - Возможность **непосредственного обучения и обмена опытом с конструкторами, разработчиками**, что повышает общие навыки. | ||
| - Возможность получения работы **без письменного экзамена**, ведущая к хорошей карьере. | ||
|
|
||
| Если вы уже успешно представили POC, но еще не присоединились к группе, добавьте нашу службу поддержки клиентов в WeChat: | ||
|
|
||
| <img src="./asset/customer_service.png" height="200px"> | ||
|
|
||
| Укажите идентификатор регистрации платформы для верификации, после чего вы сможете присоединиться! | ||
|
|
||
| См. также: https://docs.xray.cool/#/guide/contribute | ||
|
|
||
| ## 🔧 Окружение | ||
|
|
||
| ### Инструменты для написания POC | ||
|
|
||
| Эти инструменты могут помочь в создании POC, а онлайн-версия поддерживает **проверку дубликатов POC**, тогда как локальная версия поддерживает проверку отправки в реальном времени. | ||
|
|
||
| #### Онлайн версия | ||
| - [**Проверочная лаборатория**](https://poc.xray.cool) | ||
| - Онлайн-версия поддерживает **проверку дубликатов POC** | ||
|
|
||
| #### Локальная версия | ||
| - [**gamma-gui**](https://github.com/zeoxisca/gamma-gui) | ||
|
|
||
| ### Графические интерфейсы инструмента xray | ||
|
|
||
| Эти инструменты представляют собой простые оболочки командной строки и не являются прямыми вызовами методов. В планах xray на будущее появление полноценного и полноценного графического интерфейса XrayPro. Следите за обновлениями. | ||
|
|
||
| - [**super-xray**](https://github.com/4ra1n/super-xray) | ||
|
|
||
| ## 📝 Форумы обсуждения | ||
|
|
||
| Для ложных отчетов или других запросов ознакомьтесь с https://docs.xray.cool/#/guide/feedback сначала. | ||
|
|
||
| Если у вас есть проблемы, пожалуйста, создайте запрос в GitHub или присоединитесь к группе обсуждения ниже: | ||
|
|
||
| 1. Запросы в GitHub: https://github.com/chaitin/xray/issues | ||
| 2. WeChat-аккаунт: Отсканируйте QR-код ниже и следуйте за нами. | ||
|
|
||
| <img src="./asset/wechat.jpg" height="200px"> | ||
|
|
||
| 3. WeChat-группа: Добавьте аккаунт WeChat и нажмите "Свяжитесь с нами" -> "Присоединиться к группе", затем сканируйте QR-код для присоединения. | ||
| 4. QQ-группа: 717365081 | ||
|
|
||
| (Продолжение README.md на русском языке) |