Hi，好久不见。在这看似宁静的一个月里我们并没有停下脚步，而是由内而外的对 xray 做了亿点点调整。 这是一个充满 Break Change 的版本，不可避免的会出现一些新的 Bug，希望大家能及时反馈以便我们修复。

Features:

• 更换为基于事件驱动的插件调度器，同时重新定义内部插件结构，细化插件粒度；去除了调度中大量消息同步逻辑。总之就是更快、更强

• 采用全新的配置文件结构，同时改进配置加载方式，后续无需删除原配置文件即可使用各种新特性、新 POC

• 全局更换基于 badger 的新型过滤器，只要存储足够大，轻松过滤一个亿

• 为 phantasm 增加两项新配置，均支持 glob 语法进行批量匹配

  • local_poc 加载本地的 poc, 如：/home/poc/*
  • exclude_poc 排除哪些 poc，如 /home/poc/*web*、poc-yaml-weblogic*

• 增加多种针对资源限制的配置定义，可以按需使用，具体支持的例子参照配置文件说明

  • hostname_allowed 允许访问的 hostname，不带端口
  • port_allowed 允许访问的端口
  • path_allowed 允许访问的 url path
  • query_key_allowed 允许访问的 url query key
  • post_key_allowed 允许访问的请求 body 的 key
  • fragment_allowed 允许访问的 fragment

• 增加 baseline 插件的检测项

  • detect_system_path_leak 检查响应是否包含系统路径泄露
  • detect_private_ip 检查响应是否包含内网 ip

• 同步社区新增 POC

  • poc-yaml-jira-cve-2020-14181 jira 用户枚举漏洞
  • poc-yaml-weblogic-cve-2020-14750 Weblogic console 权限绕过漏洞
  • poc-yaml-seacmsv645-command-exec seacms 某rce
  • poc-yaml-seacms-before-v992-rce seacms 某rce

• 增加在注入点在 cookie 中的 sqli 检测，默认开启且可配置

• webscan 增加 --list 参数，用于展示所有内置的可用插件

• 优化部分界面的交互体验，增加更多提示信息

BugFixes:

• 修复 dirscan 逻辑问题导致的错误文件名拼接

• 改进页面相似度比较算法，可以修复部分 sql 注入和 dirscan 的误报问题

• 尝试修复 poc-yaml-phpstudy-nginx-wrong-resolve 误报较多的问题

Changes:

• 调整漏洞输出结构，改动将影响 json/html/webhook 输出，文档稍后补充

• 反连平台不再默认启动，需要用户手动配置后使用，否则部分漏洞扫不出

• 融合社区高级版和社区普通版的配置文件，高级版特有的命令普通用户也可见，但非高级版用户无法使用

• 子域名的 HTML 报告名改为后缀添加，比如 example.com.html、example.com-500.html