diff --git a/README_RU.md b/README_RU.md new file mode 100644 index 000000000..ff2ab0461 --- /dev/null +++ b/README_RU.md @@ -0,0 +1,193 @@ +

Добро пожаловать в xray 👋

+

+ + + + + Документация + +

+ + +## Кредит + +**Этот перевод был сделан** [BM-TechID](https://github.com/BM-TechID) +> Не забудьте следить за нашим профилем, Спасибо. + +[**Английская версия**](./README_EN.md) + +> Мощный инструмент оценки безопасности + +## ✨ Демо + +![](https://docs.xray.cool/assets/term.svg) + +🏠[Руководство пользователя](https://docs.xray.cool) +⬇️[Ссылка на загрузку для пользователей из Индонезии](https://stack.chaitin.com/tool/detail?id=1) +⬇️[Ссылка на загрузку на GitHub](https://github.com/chaitin/xray/releases) + +> Примечание: xray не является open source, просто загрузите предварительно скомпилированный двоичный файл. Этот репозиторий в основном содержит poc, внесенные сообществом, и каждый релиз xray будет автоматически упакован. + +## xray 2.0 + +Для решения проблем сложности и избыточности xray 1.0 в процессе улучшения функциональности, мы представляем xray 2.0. + +Новая версия направлена на улучшение плавности использования функций, снижение порога использования и помощь большему количеству специалистов по безопасности в получении лучшего опыта с более эффективным режимом. xray 2.0 будет включать в себя ряд новых инструментов безопасности, формируя комплексный набор инструментов безопасности. + +**Первый инструмент из серии xray 2.0, xpoc, уже запущен. Удачи!** + +- [**xpoc**](https://github.com/chaitin/xpoc) + +## 🚀 Быстрый старт + +**Перед использованием ознакомьтесь и согласитесь с [Лицензией](https://github.com/chaitin/xray/blob/master/LICENSE.md) в этом файле. Если не согласны, не устанавливайте и не используйте этот инструмент.** + +1. Используйте базовый *crawler* для извлечения ссылок и сканирования уязвимостей. + + ```bash + xray webscan --basic-crawler http://example.com --html-output vuln.html + ``` + +2. Используйте *HTTP proxy* для пассивного сканирования. + + ```bash + xray webscan --listen 127.0.0.1:7777 --html-output proxy.html + ``` + Установите *HTTP proxy* в браузере на `http://127.0.0.1:7777` для автоматического анализа трафика через прокси и выполнения сканирования. + + > Для сканирования трафика HTTPS ознакомьтесь с разделом "Перехват трафика HTTPS" ниже. + +3. Выполните сканирование только для одного URL без использования *crawler*. + + ```bash + xray webscan --url http://example.com/?a=b --html-output single-url.html + ``` + +4. Укажите плагины, которые должны быть запущены вручную. + + По умолчанию все встроенные плагины будут активированы. Вы можете использовать следующие команды для указания плагинов, которые должны быть активированы. + + ```bash + xray webscan --plugins cmd-injection,sqldet --url http://example.com + xray webscan --plugins cmd-injection,sqldet --listen 127.0.0.1:7777 + ``` + +5. Укажите выходной плагин. + + Вы можете указать место вывода информации о уязвимостях сканирования в определенный файл. + + ```bash + xray webscan --url http://example.com/?a=b \ + --text-output result.txt --json-output result.json --html-output report.html + ``` + + [Пример отчета](https://docs.xray.cool/assets/report_example.html) + +Для других способов использования ознакомьтесь с документацией: https://docs.xray.cool + +## 🪟 Модули обнаружения + +Новые модули обнаружения будут постоянно добавляться. + +| Название | Ключ | Версия | Описание | +|-----------------------|------------------|------|--------------------------------------------------------------------| +| Обнаружение уязвимостей XSS | `xss` | Сообщество | Обнаружение уязвимостей XSS с использованием семантического анализа | +| Обнаружение уязвимостей SQL | `sqldet` | Сообщество | Поддержка инъекций ошибок, булевых инъекций и инъекций времени | +| Обнаружение инъекций команд/кода | `cmd-injection` | Сообщество | Поддержка инъекций команд +/кода оболочки, выполнения PHP-кода и других типов инъекций шаблонов | +| Сканирование каталогов | `dirscan` | Сообщество | Обнаружение резервных файлов, временных файлов, отладочных страниц, конфигурационных файлов и т. д. | +| Обнаружение траверсала пути | `path-traversal` | Сообщество | Поддержка платформ и общих методов кодирования | +| Обнаружение инъекций XML-сущностей | `xxe` | Сообщество | Обнаружение инъекций XML-сущностей с непосредственным ответом или инвертированными сущностями | +| Управление poc | `phantasm` | Сообщество | Содержит несколько общих poc и может быть настроен пользователями. Документация: [POC](https://docs.xray.cool/#/guide/poc) | +| Обнаружение загрузки файлов | `upload` | Сообщество | Поддерживает общие языки бэкэнда | +| Обнаружение слабых паролей | `brute-force` | Сообщество | Поддерживает обнаружение базовых HTTP-паролей и простых паролей форм, интегрированный общий список имён пользователей и паролей | +| Обнаружение JSONP | `jsonp` | Сообщество | Обнаружение JSONP-интерфейсов, содержащих чувствительную информацию, доступную для чтения через домены | +| Обнаружение SSRF | `ssrf` | Сообщество | Модуль обнаружения SSRF, поддерживающий общие методы обхода и обнаружение обратных платформ | +| Базовая проверка | `baseline` | Сообщество | Обнаружение низких версий SSL, отсутствующих или неправильных HTTP-заголовков и т. д. | +| Обнаружение свободного редиректа | `redirect` | Сообщество | Поддерживает редирект мета-тега HTML, редирект 30x и т. д. | +| Вставка CRLF | `crlf-injection` | Сообщество | Обнаружение вставок заголовков HTTP, поддерживает параметры в строке запроса, теле и т. д. | +| Обнаружение уязвимостей XStream | `xstream` | Сообщество | Обнаружение уязвимостей сериализации XStream | +| Обнаружение уязвимостей сериализации Struts2 | `struts` | Продвинутый | Обнаружение уязвимостей сериализации Struts2, включая s2-016, s2-032, s2-045, s2-059, s2-061 и т. д. | +| Обнаружение уязвимостей сериализации Thinkphp | `thinkphp` | Продвинутый | Обнаружение уязвимостей на веб-сайтах, разработанных с помощью ThinkPHP | +| Обнаружение уязвимостей сериализации Shiro | `shiro` | Продвинутый | Обнаружение уязвимостей десериализации Shiro | +| Обнаружение уязвимостей сериализации Fastjson | `fastjson` | Продвинутый | Обнаружение уязвимостей сериализации Fastjson | + +## ⚡️ Расширенное использование + +Для более продвинутого использования ознакомьтесь с https://docs.xray.cool/ используя. + + - Изменение конфигурационного файла + - Перехват трафика HTTPS + - Изменение конфигурации HTTP-отправки + - Использование обратных платформ + - ... + +## 😘 Вклад в POC + +Прогресс xray невозможен без поддержки мастеров. С духом взаимопомощи, чтобы мы могли развиваться вместе, xray открывает канал "Прием POC"! Здесь вы получите: + +### Процедура подачи + +1. Конструкторы отправляют запрос, создавая PR в репозитории xray сообщества на GitHub, место подачи POC находится здесь: https://github.com/chaitin/xray/tree/master/pocs, место подачи отпечатков пальцев находится здесь: https://github.com/chaitin/xray/tree/master/fingerprints +2. Внутри PR заполните информацию о POC в соответствии с шаблоном Pull Request. +3. PR будет внутренне проверен для определения того, должен ли он быть включен в репозиторий. +4. Обратите внимание, что если вы хотите получить награду за представленный POC, вам нужно отправить свой POC на CT stack, чтобы получить награду. + +### Богатые награды + +- Конструкторы POC получат **богатые золотые монеты**, приносящие ощущение достижения. +- Обширный и разнообразный выбор обмена наградами, с более чем 50 вариантами мерчандайзинга на выбор. +- Регулярные предложения карт JD (Jingdong) для обмена, приближающие к **финансовой свободе**. +- Возможность входа в основное сообщество, взятие на себя специальные задачи и получение **высоких вознаграждений**. + +### Полное руководство + +- **Подробное руководство по созданию и тестированию POC**, помогающее вам быстро разобраться и избежать ошибок. + +### Обучение и обмен опытом + +- Возможность **непосредственного обучения и обмена опытом с конструкторами, разработчиками**, что повышает общие навыки. +- Возможность получения работы **без письменного экзамена**, ведущая к хорошей карьере. + +Если вы уже успешно представили POC, но еще не присоединились к группе, добавьте нашу службу поддержки клиентов в WeChat: + + + +Укажите идентификатор регистрации платформы для верификации, после чего вы сможете присоединиться! + +См. также: https://docs.xray.cool/#/guide/contribute + +## 🔧 Окружение + +### Инструменты для написания POC + +Эти инструменты могут помочь в создании POC, а онлайн-версия поддерживает **проверку дубликатов POC**, тогда как локальная версия поддерживает проверку отправки в реальном времени. + +#### Онлайн версия +- [**Проверочная лаборатория**](https://poc.xray.cool) +- Онлайн-версия поддерживает **проверку дубликатов POC** + +#### Локальная версия +- [**gamma-gui**](https://github.com/zeoxisca/gamma-gui) + +### Графические интерфейсы инструмента xray + +Эти инструменты представляют собой простые оболочки командной строки и не являются прямыми вызовами методов. В планах xray на будущее появление полноценного и полноценного графического интерфейса XrayPro. Следите за обновлениями. + +- [**super-xray**](https://github.com/4ra1n/super-xray) + +## 📝 Форумы обсуждения + +Для ложных отчетов или других запросов ознакомьтесь с https://docs.xray.cool/#/guide/feedback сначала. + +Если у вас есть проблемы, пожалуйста, создайте запрос в GitHub или присоединитесь к группе обсуждения ниже: + +1. Запросы в GitHub: https://github.com/chaitin/xray/issues +2. WeChat-аккаунт: Отсканируйте QR-код ниже и следуйте за нами. + + + +3. WeChat-группа: Добавьте аккаунт WeChat и нажмите "Свяжитесь с нами" -> "Присоединиться к группе", затем сканируйте QR-код для присоединения. +4. QQ-группа: 717365081 + +(Продолжение README.md на русском языке)