神兵利器 – XSS 自动化工具

 toxssin是一种开源的渗透工具，这种工具的过程是自动存在的它包含了一个https服务器，该服务器由这个工具的力量加载的恶意JavaScript生成。

默认情况下，toxssin的JavaScript毒药自动扩散到网络页面的元素和信息上，并对XMLHttpRequest对象进行拦截:

• cookies(如果不存在HttpOnly)、

• 按键（技术上讲，是一个主动的键盘记录器）、

• 粘贴事件

• 输入变化事件

• 文件选择

• 表格提交

• 服务器响应（对表单提交或点击针对不同页面的超链接，而不是同一页面的内部部分）

• 表格数据（静态的以及页面加载完毕后的表格更新）

最重要的是,toxssin:

• 试图在用户浏览网站时,通过拦截http请求和响应,并重新编写文档,创造导航的假象,而实际上文档的位置从未改变,从而创造XSS的持久性

• 支持会话管理(你可以用它来同时利用多个目标,例如,通过运行一个基于XSS的钓鱼活动或利用存储的XSS)

• 支持针对会话的自定义JS脚本执行(在浏览器被钩住后,你可以针对它运行自定义JS脚本)、

• 自动记录每个会话

安装

git clone https://github.com/t3l3machus/toxssincd ./toxssinpip3 install -r requirements.txt
	

		
	

获取工具

https://github.com/t3l3machus/toxssin

文章来源：Khan安全攻防实验室 

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END