XSS’OR—Hack with JavaScript

作者:Biubiubiu2@ArkTeam

XSS’OR(http://xssor.io/)是一款在线免费的前端黑客工具,由余弦团队开发,现已开源(https://github.com/evilcos/xssor2)。整体来看这款免费开源的工具功能很强大,主要包含三大模块:

一、Encode/Decode:加解密模块

包含前端相关的加解密,代码压缩、解压、美化、执行测试,字符集转换,哈希生成等。


二、Codz:代码模块

包含CSRF请求代码生成、AJAX请求代码生成、XSS攻击矢量、XSS攻击Payload等。


例如,代码模块能够生成PHP版本的CSRF请求代码,如下图。


代码模块还包含XSS攻击矢量、XSS攻击Payload等,例如XSSMisc列举了一些XSS漏洞常用的向量(`><script>alert(0)</script>)如下图所示。



三、Probe:探针模块

每个IP每天都可以生成一个唯一探针,使用者可以用这个探针发起攻击测试(如:XSS、钓鱼攻击等)。探针可以获取目标用户的基本信息,并且动态植入更多的命令(JS Codz)进行”远控”测试。

1)生成探针

2)插入探针

将探针链接(<script src=”…/uuwbvjb.js”></script>)插入HTML页面中。可以下载百度(www.baidu.com)主页的代码,制作成钓鱼页面,再将JS代码插入。

3)等待目标用户打开页面

若此钓鱼页面被目标用户打开,探针模块便会接收到信息:

打开链接便可发现用户的UA、Referer、screen、platform、plugins等信息:

参考链接

http://xssor.io

https://github.com/evilcos/xssor2

发表评论

电子邮件地址不会被公开。 必填项已用*标注