【亲测免费】 toxssin：自动化XSS漏洞利用工具

项目介绍

toxssin 是一款开源的渗透测试工具，专注于自动化利用跨站脚本（XSS）漏洞。它通过一个HTTPS服务器作为恶意JavaScript payload（toxin.js）的解释器，实现了对XSS漏洞的自动化利用。该项目最初是一个基于研究的创意项目，旨在探索使用原生JavaScript、受信任的证书和一些巧妙技巧来深入挖掘XSS漏洞的可利用性。

免责声明：未经明确许可，使用此工具对Web应用进行测试是非法的。使用此工具造成的任何问题，责任自负。

项目技术分析

toxssin的核心技术在于其利用原生JavaScript和HTTPS服务器来实现XSS漏洞的自动化利用。它通过拦截HTTP请求和响应，重写文档内容，创造出用户在浏览网站的假象，从而实现XSS持久化。此外，toxssin还支持会话管理、自定义JavaScript脚本执行以及自动日志记录等功能。

技术亮点

• HTTPS服务器：使用HTTPS协议确保JavaScript payload的安全传输，避免“混合内容”错误。
• 原生JavaScript：利用原生JavaScript实现对网页元素和信息的自动化操作。
• 会话管理：支持多目标同时利用，适用于XSS钓鱼攻击或存储型XSS漏洞的利用。
• 自定义脚本执行：在浏览器被hook后，可以执行自定义的JavaScript脚本。

项目及技术应用场景

toxssin适用于以下场景：

• 渗透测试：作为渗透测试工具，帮助安全研究人员自动化发现和利用XSS漏洞。
• 安全研究：用于研究XSS漏洞的深度利用和防御机制。
• 安全培训：作为安全培训工具，帮助学员理解XSS漏洞的危害和利用方式。

项目特点

• 自动化利用：自动传播恶意JavaScript payload，拦截并记录敏感信息。
• 持久化攻击：通过拦截HTTP请求和响应，实现XSS持久化攻击。
• 多目标支持：支持同时对多个目标进行XSS攻击，适用于大规模的XSS钓鱼活动。
• 自定义脚本：支持在目标浏览器上执行自定义的JavaScript脚本，灵活性高。
• 自动日志记录：自动记录每个会话的详细信息，便于后续分析。

总结

toxssin作为一款强大的XSS漏洞自动化利用工具，不仅在技术上具有创新性，而且在实际应用中也展现出极高的实用价值。无论是安全研究人员、渗透测试人员还是安全培训机构，toxssin都能提供有力的支持。如果你对XSS漏洞感兴趣，或者正在寻找一款高效的XSS利用工具，toxssin绝对值得一试。

立即访问 toxssin GitHub页面，了解更多详情并开始你的XSS漏洞利用之旅！