PoCBox – 漏洞測試驗證輔助平臺

開發這個平臺的初衷是幫助自己在漏洞挖掘測試中更加方便快捷的輔助自己進行漏洞驗證。
作者：Vulkey_Chen 部落格：http://gh0st.cn
團隊：米斯特安全團隊 Www.Hi-OurLife.Com

原文連結：https://zhuanlan.zhihu.com/p/56296101

一開始的想法是框架化、模組化，但是開發著開發著就發現有點累，於是採用了原始的方法去開發：原生JavaScript+PHP。

PoCBox功能：生成漏洞驗證程式碼（便於撰寫報告）、線上測試（便於快速手工測試）

PoCBox 版本更迭
關於PoCBox的版本更迭記錄如下。

PoCBox V1 Beta
增加漏洞模組（JSONP劫持、CORS跨域資源讀取、Flash跨域資源讀取）
平臺使用原生JS+PHP開發搭建
PoCBox V2 Beta
增加Fuzz類模組（URL）
增加其他類模組（Google Hack、Caimima）
平臺由原生JS轉向jQuery
PoCBox V2.0.1 Beta
修復JSONP劫持無法線上測試的問題（感謝：dogboy）
修復互動類攻擊PoC的目標帶有&符號無法正常線上測試（將URL地址進行URL編碼再傳輸 感謝：Vulkey_Chen）
增加漏洞測試模組：點選劫持（按鈕）、JavaScript URL跳轉、302 URL跳轉
PoCBox 開源
開發出來不少時間了，也內測了一段時間，現在放出開源版本，如下圖所示：

image.png

搭建平臺所需環境：PHP

開源功能：

JSONP劫持、CORS、Flash跨域資源讀取、Google Hack語法生成、URL測試字典生成、JavaScript URL跳轉、302 URL跳轉
結合DoraBox靶場演示 JSONP劫持漏洞 測試

賞金獵人漏洞測試輔助平臺PoCBox

開源地址：https://github.com/gh0stkey/PoCBox

推薦幾個漏洞的課程（限時免費到3月31日，一共15門免費<<<戳一下看看）

1、Appscan進行Web漏洞掃描與分析（戳一下立即開學）

2、Burp進行Web漏洞掃描與分析（戳一下立即開學）

3、AWVS進行Web漏洞掃描與分析（戳一下立即開學）

4、還有高校生免費課程（戳一下給你驚喜）