我们在去年的今天发布了 xray 0.1.0 版本，一年的时间内，我们发布了 43 个版本，公开收集了 157 个 poc，已经成为安全社区最好用的工具之一。

为了感谢大家对 xray 的支持，一周年特别准备了"阳光普照奖" : 扫码关注 xray 社区公众号，回复 "高级版领取"，即可得到两个月有效期的 xray 高级版。

注意：下载后需要将文件名手动改为 xray-license.lic，放置在 xray 二进制同一目录并删除之前的配置文件才能使用高级版的全部功能。

以下为 xray 一周年纪念版的更新内容

Features:

• 重新打造企业级子域名收集模块，在高级版中提供体验
  • 智能 dns server 调度算法，保证扫描可靠性和稳定性，同时保持低资源占用
  • 集成爆破、api、html 页面、js 分析、域传送等多种收集模块
  • 新增子域名 webhook、json 和 html 报告文件输出
• http 客户端支持配置多个代理、根据域名切换代理、根据权重进行代理负载均衡等，使用方法见 https://xray.cool/xray/#/configration/http
• 命令注入模块增加非注入型代码执行检测
• fastjson 模块增加部分 waf 绕过 payload
• 优化 jsonp、thinkphp 等模块的实现
• dirscan 支持根据 url 动态生成 payload，比如访问 s.php 将会尝试扫描 .s.php.swp 等敏感文件
• dirscan 支持 sourcemap 泄露扫描
• windows 二进制文件增加图标

Bugfixes:

• 修复 sql 注入、bruteforce 等模块中的一些问题
• 修复 fastjson 报告输出中，没有 request body 的问题
• 修复 tomcat-cve-2017-12615-rce、tongda-lfi-upload-rce 等 poc 的误报
• 修复 json 参数解析和替换的一些问题
• 修复 html 报告中 url 过长导致页面溢出的问题

Changes:

• 移除交互式 shell 功能
• 使用全新的配置文件格式，旧版本的配置将不再兼容，需要备份删除，xray 将自动生成新版配置文件
  • 修改了 http 配置，支持配置多个代理
  • 修改了 http 配置，将 header 与 cookie 配置项合并和简化
  • 隐藏了 baseline 中部分意义不大的选项