toxssin是一种开源的渗透工具,这种工具的过程是自动存在的它包含了一个https服务器,该服务器由这个工具的力量加载的恶意JavaScript生成。
默认情况下,toxssin的JavaScript毒药自动扩散到网络页面的元素和信息上,并对XMLHttpRequest对象进行拦截:
-
cookies(如果不存在HttpOnly)、
-
按键(技术上讲,是一个主动的键盘记录器)、
-
粘贴事件
-
输入变化事件
-
文件选择
-
表格提交
-
服务器响应(对表单提交或点击针对不同页面的超链接,而不是同一页面的内部部分)
-
表格数据(静态的以及页面加载完毕后的表格更新)
最重要的是,toxssin:
-
试图在用户浏览网站时,通过拦截http请求和响应,并重新编写文档,创造导航的假象,而实际上文档的位置从未改变,从而创造XSS的持久性
-
支持会话管理(你可以用它来同时利用多个目标,例如,通过运行一个基于XSS的钓鱼活动或利用存储的XSS)
-
支持针对会话的自定义JS脚本执行(在浏览器被钩住后,你可以针对它运行自定义JS脚本)、
-
自动记录每个会话
安装
git clone https://github.com/t3l3machus/toxssincd ./toxssin
pip3 install -r requirements.txt
获取工具
https://github.com/t3l3machus/toxssin原文始发于微信公众号(Khan安全攻防实验室):神兵利器 - XSS 自动化工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论