工具 | PoCBox - 漏洞测试验证辅助平台 发布时间:2019-02-11 11:01:06 ## PoCBox - 漏洞测试验证辅助平台 开发这个平台的初衷是帮助自己在漏洞挖掘测试中更加方便快捷的辅助自己进行漏洞验证。 一开始的想法是框架化、模块化,但是开发着开发着就发现有点累,于是采用了原始的方法去开发:原生JavaScript+PHP。 PoCBox功能: 生成漏洞验证代码(便于撰写报告)、在线测试(便于快速手工测试) ```python 作者:Vulkey_Chen 博客:gh0st.cn 团队:米斯特安全团队 Www.Hi-OurLife.Com 注意:平台不关注安全漏洞问题,也建议各位搭建的时候选好服务和域名!!! ``` ###PoCBox 版本更迭 关于PoCBox的版本更迭记录如下。 ####PoCBox V1 Beta 增加漏洞模块(JSONP劫持、CORS跨域资源读取、Flash跨域资源读取) 平台使用原生JS+PHP开发搭建 ####PoCBox V2 Beta 增加Fuzz类模块(URL) 增加其他类模块(Google Hack、Caimima) 平台由原生JS转向jQuery ####PoCBox V2.0.1 Beta 修复JSONP劫持无法在线测试的问题(感谢:dogboy) 修复交互类攻击PoC的目标带有&符号无法正常在线测试(将URL地址进行URL编码再传输 感谢:Vulkey_Chen) 增加漏洞测试模块:点击劫持(按钮)、JavaScript URL跳转、302 URL跳转 ###PoCBox 开源 开发出来不少时间了,也内测了一段时间,现在放出开源版本,如下图所示: <img src="https://open.appscan.io/pic/154/985/da16b24d34abd78ee8b8bf0197e5a1376d.png"> 搭建平台所需环境: PHP 开源功能: 测试:JSONP劫持、CORS、Flash跨域资源读取、Google Hack语法生成、URL测试字典生成、JavaScript URL跳转、302 URL跳转 中英文语言切换(默认为英文) 结合DoraBox靶场演示测试 YouTube: https://youtu.be/GxY0hp8vsLc 开源地址:https://github.com/gh0stkey/PoCBox 原文 / From https://github.com/gh0stkey/PoCBox 热门推荐 NSA网络监控再添实锤!利用程序监控美国人通讯内容 14亿密码,快快保存! One-Lin3r — 轻量级渗透测试框架 苹果爸爸为什么会让旧手机越来越慢?