新年開源 | PoCBox - 漏洞測試驗證輔助平臺
摘要:
PoCBox - 漏洞測試驗證輔助平臺
開發這個平臺的初衷是幫助自己在漏洞挖掘測試中更加方便快捷的輔助自己進行漏洞驗證。
一開始的想法是框架化、模組化,但是開發著開發著就發現有點累,於是採用了原始的方法去開發:原生JavaScript+PHP。
PoCBox功能...
PoCBox - 漏洞測試驗證輔助平臺
開發這個平臺的初衷是幫助自己在漏洞挖掘測試中更加方便快捷的輔助自己進行漏洞驗證。
一開始的想法是框架化、模組化,但是開發著開發著就發現有點累,於是採用了原始的方法去開發:原生JavaScript+PHP。
PoCBox功能: 生成漏洞驗證程式碼(便於撰寫報告)、線上測試(便於快速手工測試)
作者:Vulkey_Chen 部落格: http:// gh0st.cn
團隊:米斯特安全團隊Www.Hi-OurLife.Com
PoCBox 版本更迭
關於PoCBox的版本更迭記錄如下。
PoCBox V1 Beta
- 增加漏洞模組(JSONP劫持、CORS跨域資源讀取、Flash跨域資源讀取)
- 平臺使用原生JS+PHP開發搭建
PoCBox V2 Beta
- 增加Fuzz類模組(URL)
- 增加其他類模組(Google Hack、Caimima)
- 平臺由原生JS轉向jQuery
PoCBox V2.0.1 Beta
- 修復JSONP劫持無法線上測試的問題(感謝:dogboy)
- 修復互動類攻擊PoC的目標帶有&符號無法正常線上測試(將URL地址進行URL編碼再傳輸 感謝:Vulkey_Chen)
- 增加漏洞測試模組:點選劫持(按鈕)、JavaScript URL跳轉、302 URL跳轉
PoCBox 開源
開發出來不少時間了,也內測了一段時間,現在放出開源版本,如下圖所示:
搭建平臺所需環境: PHP
開源功能:
- JSONP劫持、CORS、Flash跨域資源讀取、Google Hack語法生成
結合DoraBox靶場演示 JSONP劫持漏洞 測試
賞金獵人漏洞測試輔助平臺PoCBox https://www.zhihu.com/video/1076507771838676992
開源地址: https:// github.com/gh0stkey/PoC Box
最後
感謝米斯特安全所有核心成員的協助內測。祝各位新年快樂~