官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
PoCBox - 漏洞测试验证辅助平台
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
PoCBox - 漏洞测试验证辅助平台
作者:Vulkey_Chen 博客:http://gh0st.cn
团队:米斯特安全团队 Www.Hi-OurLife.Com
一开始的想法是框架化、模块化,但是开发着开发着就发现有点累,于是采用了原始的方法去开发:原生JavaScript+PHP。
PoCBox功能:生成漏洞验证代码(便于撰写报告)、在线测试(便于快速手工测试)
PoCBox 版本更迭
关于PoCBox的版本更迭记录如下。
PoCBox V1 Beta
- 增加漏洞模块(JSONP劫持、CORS跨域资源读取、Flash跨域资源读取)
- 平台使用原生JS+PHP开发搭建
PoCBox V2 Beta
- 增加Fuzz类模块(URL)
- 增加其他类模块(Google Hack、Caimima)
- 平台由原生JS转向jQuery
PoCBox V2.0.1 Beta
- 修复JSONP劫持无法在线测试的问题(感谢:dogboy)
- 修复交互类攻击PoC的目标带有&符号无法正常在线测试(将URL地址进行URL编码再传输 感谢:Vulkey_Chen)
- 增加漏洞测试模块:点击劫持(按钮)、JavaScript URL跳转、302 URL跳转
PoCBox 开源
开发出来不少时间了,也内测了一段时间,现在放出开源版本,如下图所示:
搭建平台所需环境:PHP
开源功能:
- JSONP劫持、CORS、Flash跨域资源读取、Google Hack语法生成、URL测试字典生成、JavaScript URL跳转、302 URL跳转
结合DoraBox靶场演示 JSONP劫持漏洞 测试
赏金猎人漏洞测试辅助平台PoCBox
开源地址:https://github.com/gh0stkey/PoCBox
推荐几个漏洞的课程(限时免费到3月31日,一共15门免费<<<戳一下看看)
1、Appscan进行Web漏洞扫描与分析
2、Burp进行Web漏洞扫描与分析
4、还有高校生免费课程
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 FreeBuf_312018 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
果哥的安全笔记
相关推荐
FreeBuf_312018 LV.2
这家伙太懒了,还未填写个人描述!
- 59 文章数
- 11 关注者
【数据保护官】我的DPO考证初衷和备考过程分享
2021-09-14
【前沿能力营】“云网智安”零信任防护体系重塑安全边界(扫码入群)
2021-08-06
走进零信任
2021-07-09
文章目录