作者:Biubiubiu2@ArkTeam
XSS’OR(http://xssor.io/)是一款在线免费的前端黑客工具,由余弦团队开发,现已开源(https://github.com/evilcos/xssor2)。整体来看这款免费开源的工具功能很强大,主要包含三大模块:
一、Encode/Decode:加解密模块
包含前端相关的加解密,代码压缩、解压、美化、执行测试,字符集转换,哈希生成等。
二、Codz:代码模块
包含CSRF请求代码生成、AJAX请求代码生成、XSS攻击矢量、XSS攻击Payload等。
例如,代码模块能够生成PHP版本的CSRF请求代码,如下图。
代码模块还包含XSS攻击矢量、XSS攻击Payload等,例如XSSMisc列举了一些XSS漏洞常用的向量(`><script>alert(0)</script>)如下图所示。
三、Probe:探针模块
每个IP每天都可以生成一个唯一探针,使用者可以用这个探针发起攻击测试(如:XSS、钓鱼攻击等)。探针可以获取目标用户的基本信息,并且动态植入更多的命令(JS Codz)进行”远控”测试。
1)生成探针
2)插入探针
将探针链接(<script src=”…/uuwbvjb.js”></script>)插入HTML页面中。可以下载百度(www.baidu.com)主页的代码,制作成钓鱼页面,再将JS代码插入。
3)等待目标用户打开页面
若此钓鱼页面被目标用户打开,探针模块便会接收到信息:
打开链接便可发现用户的UA、Referer、screen、platform、plugins等信息:
参考链接
http://xssor.io
https://github.com/evilcos/xssor2