1. 威客安全首页
  2. 默认分类

开源项目 | PoCBox 完整版开源

背景

在2月份的时候,我把PoCBox开源了,当然仅仅只是一部分简单的功能:

新年开源 | PoCBox – 漏洞测试验证辅助平台


由内部测试到对外的邀请制公测再到部分功能的开源,我发现国内“安全类”开源项目的一个普遍问题缺少互动,更多的是伸手。(仅仅吐槽)


今日我将PoCBox完整版开源,也是为了催促自己完成自己今年的Flag去重构该平台,主要重构还是想让平台趋于模块化的设计。


完整版功能

所具备的测试功能:

JSONP劫持PoC生成&&在线验证

开源项目 | PoCBox 完整版开源



CORS跨域资源访问PoC生成&&在线验证

开源项目 | PoCBox 完整版开源

Websocket跨域劫持PoC生成&&在线验证

开源项目 | PoCBox 完整版开源

Flash(crossdomain.xml)跨域劫持PoC生成&&在线验证

开源项目 | PoCBox 完整版开源


点击劫持PoC生成&&在线验证

开源项目 | PoCBox 完整版开源

JS URL跳转生成(该功能常用于搭配测试一些手机上APP的URL Schemes)

开源项目 | PoCBox 完整版开源

302 URL跳转生成(该功能常用于SSRF是否跟随302跳转测试)

开源项目 | PoCBox 完整版开源

文件上传界面生成(该功能常用于通过一些JS文件或者其他页面发现的上传接口,搭配生成上传页面进行测试)

开源项目 | PoCBox 完整版开源

XXE PoC生成(xls、xls、docx文档类,该功能生成的PoC均需搭配DNSLog平台去使用)

开源项目 | PoCBox 完整版开源

Fuzz URL字典生成

开源项目 | PoCBox 完整版开源

搜索引擎SITE生成超链接


开源项目 | PoCBox 完整版开源

谷歌黑客生成超链接

开源项目 | PoCBox 完整版开源

猜密码字典生成

开源项目 | PoCBox 完整版开源


注意:本项目支持中英文切换,点击右上角的柯南头像即可切换。


最后

从2月份到现在发现有很多朋友都渐渐的开始使用PoCBox平台去做漏洞测试,包括在国内的一些师傅的文章、博客中也有了它的身影,很欣慰,起码这个平台确确实实能帮助到别人(消除了一开始自我怀疑“无用论”的想法)。


未来展望

未来我想把PoCBox作为一个真正的框架,让更多的朋友可以参与建设,但我不想把它作为一个扫描器,“灵魂怪”登场:这缺少漏洞挖掘的灵魂。


项目地址:阅读原文 or 访问:https://github.com/gh0stkey/PoCBox


原文始发于微信公众号(米斯特安全团队):开源项目 | PoCBox 完整版开源

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X