神兵利器 - XSS 自动化工具
2023-6-13 10:9:36 Author: 黑白之道(查看原文) 阅读量:27 收藏

 toxssin是一种开源的渗透工具,这种工具的过程是自动存在的它包含了一个https服务器,该服务器由这个工具的力量加载的恶意JavaScript生成。

默认情况下,toxssin的JavaScript毒药自动扩散到网络页面的元素和信息上,并对XMLHttpRequest对象进行拦截:

  • cookies(如果不存在HttpOnly)、

  • 按键(技术上讲,是一个主动的键盘记录器)、

  • 粘贴事件

  • 输入变化事件

  • 文件选择

  • 表格提交

  • 服务器响应(对表单提交或点击针对不同页面的超链接,而不是同一页面的内部部分)

  • 表格数据(静态的以及页面加载完毕后的表格更新)

最重要的是,toxssin:

  • 试图在用户浏览网站时,通过拦截http请求和响应,并重新编写文档,创造导航的假象,而实际上文档的位置从未改变,从而创造XSS的持久性

  • 支持会话管理(你可以用它来同时利用多个目标,例如,通过运行一个基于XSS的钓鱼活动或利用存储的XSS)

  • 支持针对会话的自定义JS脚本执行(在浏览器被钩住后,你可以针对它运行自定义JS脚本)、

  • 自动记录每个会话

安装

git clone https://github.com/t3l3machus/toxssincd ./toxssinpip3 install -r requirements.txt

获取工具

https://github.com/t3l3machus/toxssin

文章来源:Khan安全攻防实验室 

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

多一个点在看多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650571664&idx=4&sn=c319fc8e37de3bacf88c5da2d5b909df&chksm=83bde674b4ca6f62b9935478c7e0fa7e2867685bda21cf36b4d57d5d79834e817a567b8d9746#rd
如有侵权请联系:admin#unsafe.sh