攻击面管理平台(ASM)–XingRin

admin
admin
admin
0
文章
0
评论
2026-03-03 03:40:34 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: XingRin是一款开源攻击面管理平台,集成子域名爆破、指纹识别及Nuclei漏洞扫描功能,支持自动化资产发现与YAML流程编排。工具适用于红蓝队排查,具备资产快照对比及消息推送特性。文档详细说明了其在Ubuntu下的环境部署、一键安装及默认配置,为安全人员提供了高可操作性的资产管理解决方案。 综合评分: 79 文章分类: 安全工具,红队,渗透测试,SRC活动

cover_image

攻击面管理平台 (ASM) – XingRin

yyhuni yyhuni

菜鸟学信安

2026年3月2日 08:31 重庆

工具介绍

xingrin(星环)是一款攻击面管理平台 (ASM) | 自动化资产发现与漏洞扫描系统|src资产管理漏洞扫描平台,支持子域名爆破,端口扫描,站点发现,目录扫描,爬虫,漏洞扫描,适合红蓝队攻击面排查。这玩意开源的不多,希望越来越好。

功能特性

目标与资产管理

  • 组织管理 – 多层级目标组织,灵活分组
  • 目标管理 – 支持域名、IP目标类型
  • 资产发现 – 子域名、网站、端点、目录自动发现
  • 资产快照 – 扫描结果快照对比,追踪资产变化

漏洞扫描

  • 多引擎支持 – 集成 Nuclei 等主流扫描引擎
  • 自定义流程 – YAML 配置扫描流程,灵活编排
  • 定时扫描 – Cron 表达式配置,自动化周期扫描

指纹识别

  • 多源指纹库 – 内置 EHole、Goby、Wappalyzer、Fingers、FingerPrintHub、ARL 等 2.7W+ 指纹规则
  • 自动识别 – 扫描流程自动执行,识别 Web 应用技术栈
  • 指纹管理 – 支持查询、导入、导出指纹规则

扫描流程架构

完整的扫描流程包括:子域名发现、端口扫描、站点发现、指纹识别、URL 收集、目录扫描、漏洞扫描等阶段

全局资产搜索

  • 多类型搜索 – 支持 Website 和 Endpoint 两种资产类型
  • 表达式语法 – 支持 =(模糊)、==(精确)、!=(不等于)操作符
  • 逻辑组合– 支持 && (AND) 和 || (OR) 逻辑组合
  • 多字段查询 – 支持 host、url、title、tech、status、body、header 字段
  • CSV 导出- 流式导出全部搜索结果,无数量限制

索语法示例

# 基础搜索host="api"                    # host 包含 "api"status=="200"                 # 状态码精确等于 200tech="nginx"                  # 技术栈包含 nginx
# 组合搜索host="api" && status=="200"   # host 包含 api 且状态码为 200tech="vue" || tech="react"    # 技术栈包含 vue 或 react
# 复杂查询host="admin" && tech="php" && status=="200"url="/api/v1" && status!="404"

可视化界面

  • 数据统计 – 资产/漏洞统计仪表盘
  • 实时通知 – WebSocket 消息推送
  • 通知推送 – 实时企业微信,tg,discard消息推送服务

工具使用

环境要求

  • 操作系统: Ubuntu 20.04+ / Debian 11+
  • 系统架构: AMD64 (x86_64) / ARM64 (aarch64)
  • 硬件: 2核 4G 内存起步,20GB+ 磁盘空间

一键安装

# 克隆项目git clone https://github.com/yyhuni/xingrin.gitcd xingrin
# 安装并启动(生产模式)sudo ./install.sh
# 🇨🇳 中国大陆用户推荐使用镜像加速(第三方加速服务可能会失效,不保证长期可用)sudo ./install.sh --mirror

💡 –mirror 参数说明

  • 自动配置 Docker 镜像加速(国内镜像源)
  • 加速 Git 仓库克隆(Nuclei 模板等)
  • 大幅提升安装速度,避免网络超时

访问服务

  • Web 界面:https://ip:8083
  • 默认账号: admin / admin(首次登录后请修改密码)

常用命令

# 启动服务sudo ./start.sh
# 停止服务sudo ./stop.sh
# 重启服务sudo ./restart.sh
# 卸载sudo ./uninstall.sh

项目地址

https://github.com/yyhuni/xingrin

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:菜鸟学信安 yyhuni yyhuni《攻击面管理平台 (ASM) – XingRin》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
AI资讯日报|3月2日 网络安全文章

AI资讯日报|3月2日

文章总结: 该文档汇总2026年3月2日AI资讯。核心发现包括中国AI模型调用量首超美国并霸榜前五,谷歌向Anthropic追加10亿美元投资,钛动科技冲刺Mu
03-030 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0