作者: 余弦
地址:xssor.io
開源地址:https://github.com/evilcos/xssor2
這是一個在線免費的前端黑工具,目前主要包含 3 大模塊:
1. Encode/Decode
加解密模塊,包含:前端黑相關的加解密,代碼壓縮、解壓、美化、執行測試,字符集轉換,哈希生成,等。
2. Codz
代碼模塊,包含:CSRF 請求代碼生成,AJAX 請求代碼生成,XSS 攻擊矢量,XSS 攻擊 Payload,等。
3. Probe
探針模塊,為了平衡,這是一個最基礎的探針,且每個 IP 每天都可以生成一個唯一探針,使用者可以用這個探針發起攻擊測試(如:XSS、釣魚攻擊等),探針可以獲取目標用戶的基本信息,使用者還可以動態植入更多的命令(JavaScript Codz)進行“遠控”測試。
一些用戶體驗與隱私考慮:
XSS'OR,即使你瀏覽器不小心關掉或奔潰,你的記錄也不會丟,因為相關記錄都緩存到了你的瀏覽器本地。服務器不會存儲你的任何隱私,除了 Probe 的結果記錄(僅是結果記錄)會臨時性緩存,這是因為設計考慮,但每天0點都會自動清除。
放心使用吧!地址:xssor.io
如果你有好的想法與貢獻,我們采納后,會在 XSS'OR 致謝榜上感謝你。
更新
XSS'OR 開源了。采用 BSD 開源協議,很寬松,不限制傳播與商業化,留下作者版權就好。在下面這個 GitHub 頁面上,你不僅可以得到 XSS'OR 的源碼,還可以了解如何自己搭建一個。
https://github.com/evilcos/xssor2
簡單說明下:
上線之后(xssor.io),使用頻率還不錯。源碼是 Python 及 JavaScript,采用了 Django、Bootstrap、jQuery 三個優秀框架,可以完整覆蓋前后端,基于這三個框架,開發速度非常的快,整個過程消耗我不到一周時間,其中一半耗時在軟件設計上。感興趣這個過程的,可以讀這套源碼,很簡潔,在開發過程中我特意去掉數據庫(因為我覺得我這個應用場景其實不需要數據庫)。
既然開源了,后續應該會和新組建的 ATToT 安全團隊一起去完善它。
XSS'OR 信息量不小,如果你也玩前端黑,好好玩^_^。
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/303/
