在2月份的时候,我把PoCBox开源了,当然仅仅只是一部分简单的功能:
由内部测试到对外的邀请制公测再到部分功能的开源,我发现国内“安全类”开源项目的一个普遍问题:缺少互动,更多的是伸手。(仅仅吐槽)
今日我将PoCBox完整版开源,也是为了催促自己完成自己今年的Flag去重构该平台,主要重构还是想让平台趋于模块化的设计。
完整版功能
所具备的测试功能:
JSONP劫持PoC生成&&在线验证
CORS跨域资源访问PoC生成&&在线验证
Websocket跨域劫持PoC生成&&在线验证
Flash(crossdomain.xml)跨域劫持PoC生成&&在线验证
点击劫持PoC生成&&在线验证
JS URL跳转生成(该功能常用于搭配测试一些手机上APP的URL Schemes)
302 URL跳转生成(该功能常用于SSRF是否跟随302跳转测试)
文件上传界面生成(该功能常用于通过一些JS文件或者其他页面发现的上传接口,搭配生成上传页面进行测试)
XXE PoC生成(xls、xls、docx文档类,该功能生成的PoC均需搭配DNSLog平台去使用)
Fuzz URL字典生成
搜索引擎SITE生成超链接
谷歌黑客生成超链接
猜密码字典生成
注意:本项目支持中英文切换,点击右上角的柯南头像即可切换。
最后
从2月份到现在发现有很多朋友都渐渐的开始使用PoCBox平台去做漏洞测试,包括在国内的一些师傅的文章、博客中也有了它的身影,很欣慰,起码这个平台确确实实能帮助到别人(消除了一开始自我怀疑“无用论”的想法)。
未来展望:
未来我想把PoCBox作为一个真正的框架,让更多的朋友可以参与建设,但我不想把它作为一个扫描器,“灵魂怪”登场:这缺少漏洞挖掘的灵魂。
项目地址:阅读原文 or 访问:https://github.com/gh0stkey/PoCBox
本文始发于微信公众号(米斯特安全团队):开源项目 | PoCBox 完整版开源
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论