一、Xray 简介

Xray 是一款多平台安全评估工具，支持 Web 漏洞扫描（如 XSS、SQL 注入等），非攻击性工具，适用于 Windows/macOS/Linux 系统。本文聚焦 Windows 系统的安装与基础使用。

二、安装步骤

1. 下载安装包

• 下载地址：https://download.xray.cool/

• 选择版本：Windows 系统推荐 xray_windows_amd64.exe.zip（64 位系统）

• 操作：下载后解压到本地目录（如D:\xray），解压后包含xray_windows_amd64.exe及配置文件（xray.yaml等）。

2. 生成证书

• 环境：需在 PowerShell 中操作

• 步骤：

  1. 打开 PowerShell，进入 Xray 解压目录（如cd D:\xray）

  2. 运行命令生成证书：

     .\xray_windows_amd64.exe genca  

  3. 生成文件：目录下会新增ca.crt（证书文件）和ca.key（密钥文件）

3. 浏览器导入证书（以 Edge 为例）

• 目的：确保 Xray 能正常监听 HTTPS 流量

• 步骤：

  1. 打开 Edge 浏览器，进入设置：edge://certificate-manager/ → 找到 “管理证书”

     

  2. 点击 “导入”，启动 “证书导入向导”，选择解压目录中的ca.crt

  3. 选择证书存储：点击 “浏览” → 选择 “受信任的根证书颁发机构” → 确定

  4. 完成导入，关闭向导。

4. 配置浏览器代理（以 Edge 为例）

• 工具：需安装扩展Proxy SwitchyOmega

• 步骤：

  1. 安装扩展：Edge 商店搜索 “Proxy SwitchyOmega” 并添加

  2. 配置代理：

     • 新建情景模式（如命名 “xray”）

     • 代理服务器设置：协议 “HTTP”，服务器 “127.0.0.1”，端口 “7777”（避免使用常用端口）

     • 不代理地址列表：添加127.0.0.1、localhost等本地地址

三、Xray 使用步骤

1. 启动 Xray

• 打开命令行（PowerShell 或 CMD），进入 Xray 解压目录，运行命令：

  .\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output output.html 

  • 说明：--listen指定监听代理端口（需与浏览器代理端口一致）；--html-output指定扫描结果保存路径（如test.html）

    

2. 开始扫描

• 浏览器切换到 “xray” 代理模式（通过 SwitchyOmega 切换）

  

• 访问目标网址，正常浏览网页（点击链接、提交表单等），Xray 会自动监听并扫描漏洞

  

• 扫描结果实时记录到test.html，可直接浏览器打开查看详细漏洞信息