用户
搜索
  • TA的每日心情

    2019-1-14 23:35
  • 签到天数: 22 天

    连续签到: 1 天

    [LV.4]经常看看II

    管理员

    知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多

    Rank: 9Rank: 9Rank: 9

    37

    主题

    304

    帖子

    1012

    魔法币
    收听
    0
    粉丝
    74
    注册时间
    2016-4-17

    秦i春秋签约作者

    Vulkey_Chen 管理员 知识面,决定看到的攻击面 秦 i春秋签约作者 楼主
    发表于 2019-2-6 16:25:00 36499

    PoCBox - 漏洞测试验证辅助平台

    开发这个平台的初衷是帮助自己在漏洞挖掘测试中更加方便快捷的辅助自己进行漏洞验证。

    一开始的想法是框架化、模块化,但是开发着开发着就发现有点累,于是采用了原始的方法去开发:原生JavaScript+PHP。

    PoCBox功能:生成漏洞验证代码(便于撰写报告)、在线测试(便于快速手工测试)

    作者:Vulkey_Chen 博客:gh0st.cn
    团队:米斯特安全团队 Www.Hi-OurLife.Com

    PoCBox 版本更迭

    关于PoCBox的版本更迭记录如下。

    PoCBox V1 Beta

    1. 增加漏洞模块(JSONP劫持、CORS跨域资源读取、Flash跨域资源读取)
    2. 平台使用原生JS+PHP开发搭建

    PoCBox V2 Beta

    1. 增加Fuzz类模块(URL)
    2. 增加其他类模块(Google Hack、Caimima)
    3. 平台由原生JS转向jQuery

    PoCBox V2.0.1 Beta

    1. 修复JSONP劫持无法在线测试的问题(感谢:dogboy)
    2. 修复交互类攻击PoC的目标带有&符号无法正常在线测试(将URL地址进行URL编码再传输 感谢:Vulkey_Chen)
    3. 增加漏洞测试模块:点击劫持(按钮)、JavaScript URL跳转、302 URL跳转

    PoCBox 开源

    开发出来不少时间了,也内测了一段时间,现在放出开源版本,如下图所示:

    搭建平台所需环境:PHP

    开源功能:

    • JSONP劫持、CORS、Flash跨域资源读取、Google Hack语法生成、URL测试字典生成、JavaScript URL跳转、302 URL跳转

    结合DoraBox靶场演示 JSONP劫持漏洞 测试

    pocbox

    开源地址:https://github.com/gh0stkey/PoCBox

    最后

    感谢米斯特安全所有核心成员的协助内测。祝各位新年快乐!

    支持我们的朋友可以关注一下米斯特安全团队的公众号:



    qrcode.jpg
    gh0stkey,米斯特安全团队核心。
    i春秋社区核心成员之一。
    关注米斯特安全团队(MstLab):www.hi-ourlife.com
    就很棒!
    小白~~~
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    6666666666666666666666666
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册