查看: 14545|回复: 4

[工具专区] toxssin—XSS漏洞扫描利用工具

[复制链接]
发表于 2023-4-6 11:29:44 | 显示全部楼层 |阅读模式
toxssin 是一种开源渗透测试工具,可自动执行跨站脚本 (XSS) 漏洞利用过程。
它由一个 https 服务器组成,它充当为该工具 (toxin.js) 提供动力的恶意 JavaScript 有效负载生成的流量的解释器。

1、安装需要的依赖库
[AppleScript] 查看源码 复制代码
pip3 install -r requirements.txt


2、要启动 toxssin.py,您需要提供 ssl 证书和私钥文件。
如果您不拥有具有受信任证书的域,则可以使用以下命令颁发和使用自签名证书(尽管这不会让您走得太远):
[AppleScript] 查看源码 复制代码
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365


3、强烈建议使用受信任的证书运行 toxssin(请参阅本文档中的如何获取有效证书)。也就是说,您可以像这样启动 toxssin 服务器:
[AppleScript] 查看源码 复制代码
python3 toxssin.py -u [url]https://your.domain.com[/url] -c /your/certificate.pem -k /your/privkey.pem


4、运行效果
640.png

5、下载地址:
游客,如果您要查看本帖隐藏内容请回复
回复

使用道具 举报

发表于 2023-10-5 14:00:26 | 显示全部楼层
学习一下
回复 支持 反对

使用道具 举报

发表于 2026-5-19 15:35:01 | 显示全部楼层

Re: toxssin—XSS漏洞扫描利用工具

感谢分享这个实用的XSS工具!看起来toxssin的自动化程度挺高的,特别是集成了HTTPS服务器和恶意载荷解释器,省去了手动配置的麻烦。补充一下,实际测试中如果使用自签名证书,记得在浏览器或客户端侧添加例外,否则payload会被拦截。另外,楼主提到的受信任证书,可以试试Let's Encrypt免费申请。已经在本地搭起来试试效果了!
回复 支持 反对

使用道具 举报

发表于 2026-6-21 00:00:07 | 显示全部楼层

Re: toxssin—XSS漏洞扫描利用工具

感谢分享!这个工具看起来挺实用的,对渗透测试中的XSS漏洞利用自动化很有帮助。而且你贴的安装和启动步骤也很清晰,特别是自签名证书的生成命令,对初学者很友好。不过想请教一下,你在实际使用中有没有遇到过什么特别的反制措施或者绕过技巧?另外,运行效果那部分好像没有贴图,方便补充一下实际截图或者分享下使用经验吗?
回复 支持 反对

使用道具 举报

发表于 2026-6-21 09:10:01 | 显示全部楼层

Re: toxssin—XSS漏洞扫描利用工具

感谢分享这个工具!toxssin 作为一款专注于 XSS 漏洞利用自动化的开源工具,对于安全测试人员来说确实很有帮助,尤其是它把恶意 payload 和服务器端流量解释整合到一起,简化了原本繁琐的利用流程。你贴出的安装和启动步骤也很清晰,ssl 证书的准备是个关键提醒,毕竟现代浏览器对自签名证书限制很严。另外建议实际使用前一定要获得合法授权,避免越权操作。再次感谢你的资源分享!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-5 05:49 , Processed in 0.038031 second(s), 20 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部