toxssin:一款功能强大的XSS漏洞扫描利用和Payload生成工具
关于toxssin
toxssin是一款功能强大的XSS漏洞扫描利用和Payload生成工具,这款渗透测试工具能够帮助广大研究人员自动扫描、检测和利用跨站脚本XSS漏洞。该工具由一台HTTPS服务器组成,这台服务器将充当一个解释器,用于处理恶意JavaScript Payload生成的流量,并驱动该工具(toxin.js)的运行。
功能介绍
toxssin支持拦截下列内容:
cookie 键盘击键数据 粘贴事件 输入修改事件 文件选择 表单提交 服务器响应 表单数据
toxssin还支持下列功能:
1、尝试在用户浏览网站时通过拦截http请求和响应并重写文档来实现XSS持久化; 2、支持会话管理,这意味着,您可以使用它来利用反射型和存储型XSS; 3、支持针对会话的自定义JavaScript脚本执行; 4、自动记录所有会话信息;
工具安装&使用
该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地,并通过pip3命令和项目提供的requirements.txt文件安装该工具所需的依赖组件:
git clone https://github.com/t3l3machus/toxssincd ./toxssinpip3 install -r requirements.txt
如需启动toxssin.py,还需要提供SSL证书和私钥文件。
如果你没有一个带有授信证书的域名,你也可以使用下列命令来签发和使用自签名证书:
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365
强烈建议我们使用授信证书来运行toxssin,接下来我们就可以通过下列命令运行toxssin服务器了:
# python3 toxssin.py -u https://your.domain.com -c /your/certificate.pem -k /your/privkey.pem
工具运行截图
工具演示视频
视频地址:
https://www.youtube.com/watch?v=i9osyuFK6ro
许可证协议
本项目的开发与发布遵循MIT开源许可证协议。
项目地址
toxssin:
https://github.com/t3l3machus/toxssin
参考资料:
https://github.com/t3l3machus/toxssin#How-to-get-a-Valid-Certificate https://www.namecheap.com/
精彩推荐
相关文章
- struts2综合漏洞扫描工具
- 10种用于渗透测试的漏洞扫描工具有哪些_渗透测试和漏洞扫描区别
- 如何自己开发漏洞扫描工具视频_系统漏洞扫描工具有哪些
- 漏洞挖掘工具——afrog
- 漏扫工具 nessus_黑客漏洞扫描工具
- Alibaba Nacos 权限认证绕过漏洞
- 信息收集-DNS域传送漏洞工具-KaliLinux系统自带(dnsenum、dig)
- SQL 注入漏洞检测与利用
- 漏洞扫描与安全加固之Apache Axis组件
- Ghauri:一款功能强大的SQL注入漏洞自动化检测和利用工具
- AutoPWN-Suite:一款功能强大的自动化漏洞扫描和利用工具
- 苹果 iOS/iPadOS 14.7.1(18G82)正式发布,修补重大漏洞
- 『Linux系统漏洞检测:一款行之有效的工具』(linux漏洞检测工具)
- EternalBlue(永恒之蓝)工具漏洞利用细节分析
- 利用PowerShell代码注入漏洞绕过受限语言模式
- SQLiScanner:又一款基于SQLMAP和Charles的被动SQL 注入漏洞扫描工具
- Sundown EK:漏洞利用工具中的抄袭大师
- 安全研究人员蓄意引入漏洞?该道歉的是这些自媒体们!
- Magento存在XSS漏洞,在线商城可被攻击者操控
- 漏洞利用Metasploit中的MSSQL漏洞突破保护(使用msf中的mssql)
- MySQL漏洞工具:防范数据库安全问题(mysql漏洞工具)