PoCBox – 漏洞测试验证辅助平台

最新推荐文章于 2024-07-22 15:46:30 发布
最新推荐文章于 2024-07-22 15:46:30 发布
阅读量2.7k 收藏 4
点赞数
文章标签: 漏洞扫描 漏洞测试 漏洞安全 信息安全 渗透测试

开发这个平台的初衷是帮助自己在漏洞挖掘测试中更加方便快捷的辅助自己进行漏洞验证。
作者:Vulkey_Chen 博客:http://gh0st.cn
团队:米斯特安全团队 Www.Hi-OurLife.Com

原文链接:https://zhuanlan.zhihu.com/p/56296101

一开始的想法是框架化、模块化,但是开发着开发着就发现有点累,于是采用了原始的方法去开发:原生JavaScript+PHP。

PoCBox功能:生成漏洞验证代码(便于撰写报告)、在线测试(便于快速手工测试)

PoCBox 版本更迭
关于PoCBox的版本更迭记录如下。

PoCBox V1 Beta
增加漏洞模块(JSONP劫持、CORS跨域资源读取、Flash跨域资源读取)
平台使用原生JS+PHP开发搭建
PoCBox V2 Beta
增加Fuzz类模块(URL)
增加其他类模块(Google Hack、Caimima)
平台由原生JS转向jQuery
PoCBox V2.0.1 Beta
修复JSONP劫持无法在线测试的问题(感谢:dogboy)
修复交互类攻击PoC的目标带有&符号无法正常在线测试(将URL地址进行URL编码再传输 感谢:Vulkey_Chen)
增加漏洞测试模块:点击劫持(按钮)、JavaScript URL跳转、302 URL跳转
PoCBox 开源
开发出来不少时间了,也内测了一段时间,现在放出开源版本,如下图所示:

image.png

搭建平台所需环境:PHP

开源功能:

JSONP劫持、CORS、Flash跨域资源读取、Google Hack语法生成、URL测试字典生成、JavaScript URL跳转、302 URL跳转
结合DoraBox靶场演示 JSONP劫持漏洞 测试

赏金猎人漏洞测试辅助平台PoCBox

开源地址:https://github.com/gh0stkey/PoCBox

推荐几个漏洞的课程(限时免费到3月31日,一共15门免费<<<戳一下看看

1、Appscan进行Web漏洞扫描与分析(戳一下立即开学)

2、Burp进行Web漏洞扫描与分析(戳一下立即开学)

3、AWVS进行Web漏洞扫描与分析(戳一下立即开学)

4、还有高校生免费课程(戳一下给你惊喜)

在这里插入图片描述

牛油果2023
关注
Poc/Exp漏洞验证利用脚本编写
悦分享
07-07 5683
一、安全名词1. POCPOC,Proof ofConcept,中⽂意思是“观点证明”。这个短语会在漏洞报告中使⽤,漏洞报告中的POC则是⼀段说明或者⼀个攻击的样例,使得读者能够确认这个漏洞是真实存在的。2. EXPEXP,Exploit,中文叫漏洞利用程序。意思就是该漏洞存在公开的利用方式(比如一个脚本),就是一段可以发挥漏洞价值的程序,对漏洞如何利⽤的详细说明或者⼀个演⽰的漏洞攻击代码,可以使得读者完全了解漏洞的机理以及利⽤的⽅法。想象一下这样的场景,目标存在一个 SQL 注入漏洞,然后被你知道了,然后
docker安装pocbox漏洞测试验证辅助平台
qq_50854662的博客
11-20 4329
PoCBox - 漏洞测试验证辅助平台 开发这个平台的初衷是帮助自己在漏洞挖掘测试中更加方便快捷的辅助自己进行漏洞验证。 一开始的想法是框架化、模块化,但是开发着开发着就发现有点累,于是采用了原始的方法去开发:原生JavaScript+PHP。 PoCBox功能: 生成漏洞验证代码(便于撰写报告)、在线测试(便于快速手工测试) 下面说一下怎么在docker下安装pocbox Docker 拉镜像 docker pull registry.cn-hangzhou.aliyuncs.com/pocbox/poc
DVMA-渗透测试漏洞练习平台
12-02
DVMA-渗透测试漏洞练习平台, 其中内含XSS、SQL注入、文件上传、文件包含、CSRF和暴力破解等各个难度的测试环境
漏洞POC是什么/一种基于漏洞poc实现安卓系统漏洞检测的方法与流程_小白信息安全自学
最新发布
程序员三九的博客
07-22 508
本发明属于安卓系统安全防护技术领域,尤其涉及一种安卓系统漏洞检测方法。背景技术:随着互联网和智能移动终端在人们生活中的日益普及,移动安全问题和安全隐患也随之愈来愈严重。
各种Web漏洞测试平台
weixin_30892987的博客
06-20 475
Sqli Lab​支持报错注入、二次注入、盲注、Update注入、Insert注入、Http头部注入、二次注入练习等。支持GET和POST两种方式。 https://github.com/Audi-1/sqli-labs DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQ...
安全漏洞验证平台-洞察
重启专家的博客
09-26 521
上周刚好组内有同事在做漏洞验证平台相关的项目,刚好在github上找个demo搭起来一探究竟。 洞察由宜信安全部开发,集成应用系统资产管理、漏洞全生命周期管理、安全知识库管理三位一体的管理平台。 产品初衷让用户方便快捷地进行风险管理 ,更加直观和实时地了解和处置自己的安全隐患。提升漏洞修复效率,同时进行安全风险管理功能联动。 主要由3部分组成: 应用系统资产管理 漏洞生命周期管理 安全知识库管理 技术架构 后端:Python,MySQL,Redis 前端:Vue全家桶 洞察2.0版本
Redis未授权访问漏洞验证脚本编写(POC)
Mrs_H的博客
04-11 1506
Redis未授权访问漏洞验证脚本编写(POC) 1.实验环境: Ubuntu18(靶机) kali linux(攻击机) 2.代码的编写: import sys import getopt import socket def url_exec(url):#将要探测的主机地址都存入一个待测数组内 ans = [] group = [] li = url.split(".") if (url.find('-') == -1): group.append(url
PocBox漏洞测试验证辅助平台环境搭建与原理分析
Fly_鹏程万里
08-13 1016
PocBox简介 PocBox是由米斯特安全团队开发的一款用于漏洞测试验证辅助平台渗透测试人员可以通过该平台更好、更快捷的进行漏洞验证Pocbox环境搭建 首先下载该项目: 项目地址:https://github.com/gh0stkey/PoCBox 之后将项目放置到phpstudy中的www目录中: 之后启动phpstudy,并在浏览器中访问: PoCBox的使...
工业信息物理系统测试验证平台.pptx
07-25
【工业信息物理系统测试验证平台】是针对现代工业控制系统中信息物理系统(CPS, Cyber-Physical Systems)进行测试验证的重要工具。该平台通常集成了先进的软硬件技术,能够全面评估CPS的安全性、稳定性和性能。在...
一款漏洞验证框架的构思.graffle
09-15
一款漏洞验证框架的构思.graffle
漏洞挖掘】——45、 JSONP攻防原理
Fly_鹏程万里
06-07 57
{"id":"1","name":"知道创宇"}callback({"id":"1","name":"知道创宇"});phpprint $callback.'({"id":"1","name":"知道创宇"})';?callback=?});
PocStart:轻量级漏洞验证和利用框架
05-09
PocStart 轻量级多线程并发漏洞检测和利用框架,用于批量验证和利用漏洞,参考和 .用户可根据自己喜好和需求进行二次开发。 开发环境: windows python3.6 建议使用python3运行,python2官方已停止更新,后续新添加poc会使用python3开发 快速开始: 使用手册: SCRIPT: -s NAME load script by name (-s ./pocs/jobss) or path (-s ./pocs/jboss.py) TARGET: -iS TARGET scan a single target (e.g. www.wooyun.org) -iF FILE load targets from targetFile
web漏洞挖掘指南-前端跨域漏洞
weixin_40418457的博客
09-27 507
web漏洞挖掘指南 前端跨域漏洞 一、何为跨域 1.设想一种场景,一个恶意网站上嵌入了一个iframe标签去加载银行的登陆页面,高度和宽度的设置和真实的银行官网一样,当用户访问恶意网站并登录时,攻击者就可以利用恶意脚本通过XMLHttpRequest之类的dom操作窃取用户的银行卡数据,为了防止防御此类攻击,同源策略诞生了! 2.同源策略规定不同域的客户端脚本如果没有明确授权允许执行,不能读写另一方的资源。同协议,同端口,同主机名的两个URL才能被认为同源。 3.随着web应用前后端分离模式的流行,后端
漏洞检测之POC的学习
qq_46162550的博客
09-27 6642
根据个人理解对POC漏洞验证进行小结。
盘点那些漏洞 POC 测试工具
wuli1024的博客
11-11 2290
以上工具覆盖仅仅个人总结,还有其他专注 POC 检测的工具,比如知道创宇的 pocsuite3,只随软件携带来十几个案例 POC,目前我使用最多的就是 xray、xpoc、nuclei 这些工具,最近开始用 afrog,大家有好用的工具欢迎留言讨论,一起学习探讨。文库目录:https://wiki.xazlsec.com/static/forder.html。
开发实战(6)--对fofa收集的漏洞资产使用poc进行批量验证
记录开发和安全学习过程中的点点滴滴
04-21 1396
对收集的漏洞信息进行批量监测的一个通用脚本,本质是可以做一个通用的漏洞批量监测的通用模板,可惜的是没有成功获得可以进行测试的weblogic的资产,但是还是发现狮子鱼确实漏洞资产很多可以进行验证.t=N7T8t=N7T8安全开发实战http://t.csdnimg.cn/Ba4Ru。
什么是POC漏洞
qq_44833342的博客
05-29 4005
poc漏洞概念
漏洞复现 POC 综合
qq_56895879的博客
08-14 1098
漏洞复现
POC-bomber(漏洞检测/利用工具)
weixin_71169068的博客
06-29 2115
本项目收集互联网各种危害性大的 RCE · 任意文件上传 · 反序列化 · sql注入 等高危害且能够获取到服务器核心权限的漏洞POC/EXP,并集成在 POC bomber 武器库中,利用大量高危害POC对单个或多个目标进行模糊测试,以此在大量资产中快速获取发现脆弱性目标,获取目标服务器权限。适用场景包括但不仅限于以下: hvv快速打点 漏洞资产测绘 维护个人漏洞扫描
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值