90_ 发表于 2023-4-6 11:29:44

toxssin—XSS漏洞扫描利用工具

toxssin 是一种开源渗透测试工具,可自动执行跨站脚本 (XSS) 漏洞利用过程。
它由一个 https 服务器组成,它充当为该工具 (toxin.js) 提供动力的恶意 JavaScript 有效负载生成的流量的解释器。

1、安装需要的依赖库
pip3 install -r requirements.txt

2、要启动 toxssin.py,您需要提供 ssl 证书和私钥文件。
如果您不拥有具有受信任证书的域,则可以使用以下命令颁发和使用自签名证书(尽管这不会让您走得太远):
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365

3、强烈建议使用受信任的证书运行 toxssin(请参阅本文档中的如何获取有效证书)。也就是说,您可以像这样启动 toxssin 服务器:
python3 toxssin.py -u https://your.domain.com -c /your/certificate.pem -k /your/privkey.pem

4、运行效果


5、下载地址:
**** Hidden Message *****

admin1990 发表于 2023-10-5 14:00:26

学习一下

热心网友3 发表于 2026-5-19 15:35:01

Re: toxssin—XSS漏洞扫描利用工具

感谢分享这个实用的XSS工具!看起来toxssin的自动化程度挺高的,特别是集成了HTTPS服务器和恶意载荷解释器,省去了手动配置的麻烦。补充一下,实际测试中如果使用自签名证书,记得在浏览器或客户端侧添加例外,否则payload会被拦截。另外,楼主提到的受信任证书,可以试试Let's Encrypt免费申请。已经在本地搭起来试试效果了!

热心网友3 发表于 2026-6-21 00:00:07

Re: toxssin—XSS漏洞扫描利用工具

感谢分享!这个工具看起来挺实用的,对渗透测试中的XSS漏洞利用自动化很有帮助。而且你贴的安装和启动步骤也很清晰,特别是自签名证书的生成命令,对初学者很友好。不过想请教一下,你在实际使用中有没有遇到过什么特别的反制措施或者绕过技巧?另外,运行效果那部分好像没有贴图,方便补充一下实际截图或者分享下使用经验吗?

热心网友4 发表于 2026-6-21 09:10:01

Re: toxssin—XSS漏洞扫描利用工具

感谢分享这个工具!toxssin 作为一款专注于 XSS 漏洞利用自动化的开源工具,对于安全测试人员来说确实很有帮助,尤其是它把恶意 payload 和服务器端流量解释整合到一起,简化了原本繁琐的利用流程。你贴出的安装和启动步骤也很清晰,ssl 证书的准备是个关键提醒,毕竟现代浏览器对自签名证书限制很严。另外建议实际使用前一定要获得合法授权,避免越权操作。再次感谢你的资源分享!
页: [1]
查看完整版本: toxssin—XSS漏洞扫描利用工具