作者:Vulkey_Chen 博客:http://gh0st.cn
团队:米斯特安全团队 Www.Hi-OurLife.Com
一开始的想法是框架化、模块化,但是开发着开发着就发现有点累,于是采用了原始的方法去开发:原生JavaScript+PHP。
PoCBox功能:生成漏洞验证代码(便于撰写报告)、在线测试(便于快速手工测试)
PoCBox 版本更迭
关于PoCBox的版本更迭记录如下。
PoCBox V1 Beta
- 增加漏洞模块(JSONP劫持、CORS跨域资源读取、Flash跨域资源读取)
- 平台使用原生JS+PHP开发搭建
PoCBox V2 Beta
- 增加Fuzz类模块(URL)
- 增加其他类模块(Google Hack、Caimima)
- 平台由原生JS转向jQuery
PoCBox V2.0.1 Beta
- 修复JSONP劫持无法在线测试的问题(感谢:dogboy)
- 修复交互类攻击PoC的目标带有&符号无法正常在线测试(将URL地址进行URL编码再传输 感谢:Vulkey_Chen)
- 增加漏洞测试模块:点击劫持(按钮)、JavaScript URL跳转、302 URL跳转
PoCBox 开源
开发出来不少时间了,也内测了一段时间,现在放出开源版本,如下图所示:
搭建平台所需环境:PHP
开源功能:
- JSONP劫持、CORS、Flash跨域资源读取、Google Hack语法生成、URL测试字典生成、JavaScript URL跳转、302 URL跳转
结合DoraBox靶场演示 JSONP劫持漏洞 测试
赏金猎人漏洞测试辅助平台PoCBox
开源地址:https://github.com/gh0stkey/PoCBox
推荐几个漏洞的课程(限时免费到3月31日,一共15门免费<<<戳一下看看)
1、Appscan进行Web漏洞扫描与分析
4、还有高校生免费课程
来源:freebuf.com 2019-02-21 16:44:24 by: secguo
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册