├── image ├── wechat.jpg └── xapp_logo.png ├── LICENSE.md ├── Disclaimer.md └── README.md /image/wechat.jpg: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/chaitin/xapp/HEAD/image/wechat.jpg -------------------------------------------------------------------------------- /image/xapp_logo.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/chaitin/xapp/HEAD/image/xapp_logo.png -------------------------------------------------------------------------------- /LICENSE.md: -------------------------------------------------------------------------------- 1 | 在符合以下条件的情况下,我们欢迎任何人以任何形式使用本项目(包括商用)。 2 | 3 | - 注明集成了本项目(注明方式: 在项目介绍页附上本项目 repo 地址) 4 | - 同意 https://github.com/chaitin/xapp/blob/main/Disclaimer.md 免责声明 5 | 6 | Anyone is welcome to use this program in any form provided the following conditions are met (Including commercial). 7 | 8 | - Indicate the integration of the project (indicate: attach the repo address of the project on the project introduction page) 9 | - Agree to https://github.com/chaitin/xapp/blob/main/Disclaimer.md disclaimer -------------------------------------------------------------------------------- /Disclaimer.md: -------------------------------------------------------------------------------- 1 | ## 免责声明 2 | 3 | 本工具仅面向**合法授权**的企业安全建设行为,如您需要测试本工具的可用性,请自行搭建靶机环境。 4 | 5 | 在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。**请勿对非授权目标进行扫描。** 6 | 7 | 如果您获得了本软件社区高级版等版本的 License,该 License 下的权益仅限您个人使用,**禁止以任何形式复制、分发、传播该 License。** 8 | 9 | 禁止对本软件实施逆向工程、反编译、试图破译源代码等行为。 10 | 11 | **如果发现上述禁止行为,我们将保留追究您法律责任的权利。** 12 | 13 | 如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。 14 | 15 | 在安装并使用本工具前,请您**务必审慎阅读、充分理解各条款内容**,限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。 16 | 除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要安装并使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。 17 | 18 | 19 | ## Disclaimer 20 | 21 | This tool is only for **legally authorized** enterprise security construction behavior, if you need to test the usability of this tool, please build your own target environment. 22 | 23 | When using this tool for testing, you should ensure that the behavior complies with local laws and regulations and that sufficient authorization has been obtained. **Do not scan unauthorized targets.** 24 | 25 | If you have obtained the License of the software Community Premium Edition and other versions, the rights and interests under the License are for your personal use only. **Reproduction, distribution and dissemination of the License in any form are prohibited.** 26 | 27 | It is forbidden to reverse engineer, decompile, and attempt to decipher the source code of the software. 28 | 29 | **We reserve the right to hold you legally liable if we find the above prohibited behavior.** 30 | 31 | If you have any illegal behavior in the process of using this tool, you need to bear the corresponding consequences of yourself, and we will not bear any legal and joint liability. 32 | 33 | Before installing and using the tool, please **be sure to carefully read and fully understand the content of the terms**. Limitations, disclaimers or other terms involving your significant rights and interests may be in bold, underlined and other forms to remind you to pay attention. 34 | Please do not install and use this tool unless you have fully read, fully understand and accept all the terms of this Agreement. Your use of this Agreement or your acceptance of this Agreement by any other express or implied means shall be deemed that you have read and agreed to be bound by this Agreement. -------------------------------------------------------------------------------- /README.md: -------------------------------------------------------------------------------- 1 |

2 | xapp 3 |
4 |

5 | 6 |

专注于web指纹识别的工具

7 | 8 |

9 | 10 | 11 | Documentation 12 | 13 |

14 | 15 |

16 | 快速开始 • 17 | 特点 • 18 | 使用 • 19 | 贡献 • 20 | 下载 • 21 | 使用文档 22 |

23 | 24 | --- 25 | 26 | ## 🚀 快速使用 27 | 28 | **在使用之前,请务必阅读并同意 [License](./LICENSE.md) 文件中的条款,否则请勿安装使用本工具。** 29 | 30 | 1. 指定指纹扫描单个目标: 31 | 32 | ```bash 33 | xapp -r xxx.yml -t https://www.example.com 34 | echo https://www.example.com | xapp -r xxx.yml 35 | ``` 36 | 37 | 2. 指定指纹扫描多个目标: 38 | 39 | ```bash 40 | xapp -r xxx.yml -t https://www.example.com -t https://www.example2.com 41 | xapp -r xxx.yml -i targets.txt 42 | cat targets.txt | xapp -r xxx.yml 43 | ``` 44 | 45 | 3. 指定多个指纹进行扫描: 46 | 47 | ```bash 48 | xapp -r xxx.yml -r yyy.yml -t https://www.example.com 49 | xapp -r "./finger/web/*.yml" -t https://www.example.com 50 | xapp -r "./finger/**/*.yml" -t https://www.example.com 51 | ``` 52 | 53 | 4. 指定group进行扫描: 54 | 55 | ```bash 56 | xapp -g web.list -t https://www.example.com 57 | ``` 58 | 59 | ## 🪟 特点 60 | 61 | 1. 支持web指纹识别,可以快速识别web目标的技术栈,为安全测试提供基础数据。 62 | 2. 规则语法与xray PoC保持一致,简单易懂,适合新手开发者快速上手。 63 | 3. 自定义指纹规则,实现精细逻辑分支,增强识别的准确性和灵活性。 64 | 4. 开放共创:鼓励社区参与,共同在GitHub上构建标准的[指纹规则集](https://github.com/chaitin/xray-plugins),分享自己的指纹规则集,免费供所有人使用。 65 | 5. 性能优化:专门针对同时加载大量指纹的场景进行优化,提高运行效率。 66 | 67 | ## 📦 安装使用 68 | 69 | 在[releases](https://github.com/chaitin/xapp/releases)中下载对应的系统的最新版即可,运行`xapp -h`即可查看帮助 70 | 71 | ```bash 72 | __ /\ ___. /\_. /\_. 73 | | |/ / / | / __.\ / __.\ 74 | | /XRAY™/| | / /_/ // /_/ / 75 | / | / ___ |/ .___// .___/ 76 | / /|_| / / |_/_/ /_/ 77 | \/0.0.0\/ 78 | [INF] 24-06-26 22:25:33 使用以下位置的配置文件:/root/.xray/xapp/xapp-config.yaml [app.go:422] 79 | XAPP: 80 | 81 | 82 | 示例: 83 | Scan single target: xapp -t http://192.168.1.1:8000 84 | └> multiple targets: xapp -t http://192.168.1.1:8000 -t http://192.168.1.1:8001 85 | └> target file: xapp -i a.txt 86 | Show plugin: xapp -v 87 | └> run one plugin: xapp -t tcp://192.168.1.1:8000 -r "./finger/finger.yml" 88 | └> run plugins: xapp -t tcp://192.168.1.1:8000 -r "./finger/*.yml" 89 | 90 | 91 | 描述: 92 | web application scanner 93 | 94 | 命令: 95 | lint 对 yaml 脚本进行静态格式校验 96 | score 对 yaml 指纹脚本进行评分 97 | help, h Shows a list of commands or help for one command 98 | 99 | 选项: 100 | HTTP客户端: 101 | --hrps value, --host_rps value 对于单个Host的每秒最大发送请求数: 小于等于0时不限制每秒最大发送请求数 (default: 0) 102 | --http-proxy value [ --http-proxy value ] HTTP客户端代理: [http|https|socks5://][username[:password]@]host[:port] 仅对http连接生效 103 | --retry value 请求失败重试次数 (default: 2) 104 | 105 | 插件展示: 106 | -v 列出启用的插件 (default: false) 107 | 108 | 日志管理: 109 | --debug 调试:打印debug日志 (default: false) 110 | --log-level value 指定等级:debug/info(默认)/warn/error/fatal/disable 111 | --silent 静默:不打印banner,日志等级设置为fatal (default: false) 112 | 113 | 目标拆解: 114 | -i value 目标文件: 指定含有扫描目标的文本文件 115 | -t value [ -t value ] 扫描目标: 可以为URL/IP/域名/Host:Port等多种形式的混合输入 (默认) 116 | 117 | 结果输出: 118 | -o value [ -o value ] 结果输出: 指定保存结果的文件路径 119 | 120 | 设置变量: 121 | --env value [ --env value ] 设置系统变量 122 | 123 | 连接管理: 124 | --proxy value 全局代理:socks5://[username[:password]@]host[:port] 仅支持socks5,对所有连接生效 125 | --timeout value 读超时: 从连接中读取数据的最大耗时 (default: 5s) 126 | 127 | 通用: 128 | --config value 配置文件:使用指定的配置文件,如果文件不存在则自动创建默认配置文件 129 | -d value, --disable value [ -d value, --disable value ] 禁用:禁止特定插件执行,仅支持输入插件名 130 | -g value, --group value [ -g value, --group value ] 插件组:执行指定的插件组文件 131 | -r value, --run value [ -r value, --run value ] 仅执行:仅执行指定的插件,支持glob/绝对路径/相对路径 132 | ``` 133 | 134 | ## ⚡️ 进阶 135 | 136 | 下列高级用法请查看 https://docs.xray.cool/tools/xapp/QuickStart 使用。 137 | 138 | - 指纹打分 139 | 140 | ## 😘 指纹仓库/贡献指纹 141 | 142 | 访问[xray-plugins](https://github.com/chaitin/xray-plugins)查看详情 143 | 144 | ## 📝 讨论区 145 | 146 | 提交误报漏报需求等等请务必先阅读 https://docs.xray.cool/#/guide/feedback 147 | 148 | 如有问题可以在 GitHub 提 issue, 也可在下方的讨论组里 149 | 150 | 1. GitHub issue: https://github.com/chaitin/xapp/issues 151 | 152 | 2. 微信公众号:微信扫描以下二维码,关注我们 153 | 154 | 155 | 156 | 3. 微信群: 请添加微信公众号并点击“联系我们" -> "加群“,然后扫描二维码加群 157 | 158 | 4. QQ 群: 717365081 159 | --------------------------------------------------------------------------------