super-xray高级配置教程：自定义扫描规则与输出格式

【免费下载链接】super-xray Web漏洞扫描工具XRAY的GUI启动器 项目地址: https://gitcode.com/gh_mirrors/su/super-xray

super-xray作为Web漏洞扫描工具XRAY的GUI启动器，提供了可视化界面帮助用户轻松配置和运行漏洞扫描任务。本文将详细介绍如何通过高级配置功能自定义扫描规则与输出格式，让扫描更精准、结果更易读。

一、认识高级配置界面

在super-xray主界面中，点击左侧的「高级配置」按钮即可打开高级配置面板。该面板集中了所有与扫描规则和输出相关的核心设置选项。

从界面布局可以看到，高级配置主要分为三个功能区域：

• 左侧：扫描插件配置区（可选择启用/禁用特定漏洞类型）
• 中间：PoC模块配置区（自定义漏洞检测规则）
• 右侧：输出模块配置区（设置扫描结果的展示格式）

二、自定义扫描规则：PoC模块配置

2.1 了解PoC（漏洞检测规则）

PoC（Proof of Concept）是super-xray进行漏洞检测的核心规则文件。super-xray默认内置了812个PoC规则，涵盖SQL注入、XSS、命令注入等常见漏洞类型。这些规则文件位于程序内置的资源中，通过Poc.java类进行管理。

2.2 筛选PoC规则

在PoC模块配置区，你可以：

1. 按漏洞等级筛选：通过CRITICAL/HIGH/MEDIUM三个单选按钮选择要扫描的漏洞严重级别
2. 指定PoC文件：点击「选择本地PoC」按钮导入自定义的PoC规则文件
3. 排除特定PoC：在「排除哪些内置PoC」文本框中输入要排除的规则（支持通配符，如poc-yaml-tomcat*）

提示：排除规则支持通配符匹配，例如输入poc-yaml-tomcat*可排除所有Tomcat相关的PoC规则

2.3 同步PoC数据库

点击「同步PoC数据库」按钮可以更新最新的漏洞检测规则，确保你使用的是最新的安全检测能力。同步完成后，界面会显示更新后的PoC数量。

三、配置输出格式：让扫描结果更易读

3.1 选择输出格式

在输出模块配置区，super-xray提供三种输出格式选项：

• HTML格式：适合直观查看，包含漏洞详情和修复建议
• JSON格式：适合自动化处理，可导入其他安全分析工具
• CLI格式：适合命令行输出，简洁展示关键信息

选择所需格式后，点击「点击确认输出配置」按钮保存设置。

3.2 设置输出文件

在扫描任务开始前，可以通过「指定输出文件」选项自定义扫描结果的保存路径和文件名。对于子域名扫描等特定任务，还可以设置是否「输出成功解析IP的结果」等高级选项。

四、高级扫描配置技巧

4.1 并行扫描设置

在「设置并发」区域，可以调整扫描线程数（默认为30）。适当提高线程数可以加快扫描速度，但过高可能导致目标服务器拒绝服务或触发WAF防护。

4.2 代理配置

如果需要通过代理进行扫描，可以在右侧「代理配置」区域输入HTTP代理URL，适用于需要通过特定网络出口进行扫描的场景。

4.3 查看当前配置

点击界面底部的「查看当前配置文件」按钮，可以查看所有当前生效的配置参数，包括PoC规则、输出格式、并发设置等，方便进行配置调试。

五、应用实例：自定义SQL注入扫描

1. 在「扫描插件配置」区勾选「sql-injection」选项
2. 在PoC模块选择「HIGH」级别漏洞
3. 在排除PoC框中输入*redis*排除Redis相关PoC
4. 输出格式选择「HTML」
5. 点击「确认配置」并开始扫描

通过以上步骤，你可以精准地对目标网站进行SQL注入漏洞扫描，并得到清晰的HTML格式报告。

总结

super-xray的高级配置功能为用户提供了灵活的扫描规则和输出格式自定义选项。通过合理配置PoC规则、调整输出格式和扫描参数，你可以使漏洞扫描更符合实际需求，提高安全检测效率。无论是新手还是有经验的安全测试人员，都能通过这些高级功能充分发挥XRAY的强大扫描能力。

【免费下载链接】super-xray Web漏洞扫描工具XRAY的GUI启动器 项目地址: https://gitcode.com/gh_mirrors/su/super-xray