toxssin:一款功能强大的XSS漏洞扫描利用和Payload生成工具
2023-11-9 21:23:15 Author: FreeBuf(查看原文) 阅读量:16 收藏

 关于toxssin 

toxssin是一款功能强大的XSS漏洞扫描利用和Payload生成工具,这款渗透测试工具能够帮助广大研究人员自动扫描、检测和利用跨站脚本XSS漏洞。该工具由一台HTTPS服务器组成,这台服务器将充当一个解释器,用于处理恶意JavaScript Payload生成的流量,并驱动该工具(toxin.js)的运行。

 功能介绍 

toxssin支持拦截下列内容:

cookie

键盘击键数据

粘贴事件

输入修改事件

文件选择

表单提交

服务器响应

表单数据

toxssin还支持下列功能:

1、尝试在用户浏览网站时通过拦截http请求和响应并重写文档来实现XSS持久化;

2、支持会话管理,这意味着,您可以使用它来利用反射型和存储型XSS;

3、支持针对会话的自定义JavaScript脚本执行;

4、自动记录所有会话信息;

 工具安装&使用 

该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地,并通过pip3命令和项目提供的requirements.txt文件安装该工具所需的依赖组件:

git clone https://github.com/t3l3machus/toxssincd ./toxssinpip3 install -r requirements.txt

如需启动toxssin.py,还需要提供SSL证书和私钥文件。

如果你没有一个带有授信证书的域名,你也可以使用下列命令来签发和使用自签名证书:

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365

强烈建议我们使用授信证书来运行toxssin,接下来我们就可以通过下列命令运行toxssin服务器了:

# python3 toxssin.py -u https://your.domain.com -c /your/certificate.pem -k /your/privkey.pem

工具运行截图 

 工具演示视频 

视频地址

https://www.youtube.com/watch?v=i9osyuFK6ro

许可证协议 

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

toxssin

https://github.com/t3l3machus/toxssin

FreeBuf粉丝交流群招新啦!

在这里,拓宽网安边界

甲方安全建设干货;

乙方最新技术理念;

全球最新的网络安全资讯;

群内不定期开启各种抽奖活动;

FreeBuf盲盒、大象公仔......

扫码添加小蜜蜂微信回复“加群”,申请加入群聊



文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651247527&idx=4&sn=1ec3ad086b4983d225d8f382a4cfe8e6&chksm=bd1d412c8a6ac83ac41aae9e475fbd033af86c0f9aa9064e8e5b87f9c5f1f2aab1534bb96fe3&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh