背景

在2月份的时候，我把PoCBox开源了，当然仅仅只是一部分简单的功能：

新年开源 | PoCBox - 漏洞测试验证辅助平台

由内部测试到对外的邀请制公测再到部分功能的开源，我发现国内“安全类”开源项目的一个普遍问题：缺少互动，更多的是伸手。（仅仅吐槽）

今日我将PoCBox完整版开源，也是为了催促自己完成自己今年的Flag去重构该平台，主要重构还是想让平台趋于模块化的设计。

完整版功能

所具备的测试功能：

JSONP劫持PoC生成&&在线验证

CORS跨域资源访问PoC生成&&在线验证

Websocket跨域劫持PoC生成&&在线验证

Flash(crossdomain.xml)跨域劫持PoC生成&&在线验证

点击劫持PoC生成&&在线验证

JS URL跳转生成（该功能常用于搭配测试一些手机上APP的URL Schemes）

302 URL跳转生成（该功能常用于SSRF是否跟随302跳转测试）

文件上传界面生成（该功能常用于通过一些JS文件或者其他页面发现的上传接口，搭配生成上传页面进行测试）

XXE PoC生成（xls、xls、docx文档类，该功能生成的PoC均需搭配DNSLog平台去使用）

Fuzz URL字典生成

搜索引擎SITE生成超链接

谷歌黑客生成超链接

猜密码字典生成

注意：本项目支持中英文切换，点击右上角的柯南头像即可切换。

最后

从2月份到现在发现有很多朋友都渐渐的开始使用PoCBox平台去做漏洞测试，包括在国内的一些师傅的文章、博客中也有了它的身影，很欣慰，起码这个平台确确实实能帮助到别人（消除了一开始自我怀疑“无用论”的想法）。

未来展望：

未来我想把PoCBox作为一个真正的框架，让更多的朋友可以参与建设，但我不想把它作为一个扫描器，“灵魂怪”登场：这缺少漏洞挖掘的灵魂。

项目地址：阅读原文 or 访问：https://github.com/gh0stkey/PoCBox