PoCBox – 漏洞测试验证辅助平台

开发这个平台的初衷是帮助自己在漏洞挖掘测试中更加方便快捷的辅助自己进行漏洞验证。
作者：Vulkey_Chen 博客：http://gh0st.cn
团队：米斯特安全团队 Www.Hi-OurLife.Com

原文链接：https://zhuanlan.zhihu.com/p/56296101

一开始的想法是框架化、模块化，但是开发着开发着就发现有点累，于是采用了原始的方法去开发：原生JavaScript+PHP。

PoCBox功能：生成漏洞验证代码（便于撰写报告）、在线测试（便于快速手工测试）

PoCBox 版本更迭
关于PoCBox的版本更迭记录如下。

PoCBox V1 Beta
增加漏洞模块（JSONP劫持、CORS跨域资源读取、Flash跨域资源读取）
平台使用原生JS+PHP开发搭建
PoCBox V2 Beta
增加Fuzz类模块（URL）
增加其他类模块（Google Hack、Caimima）
平台由原生JS转向jQuery
PoCBox V2.0.1 Beta
修复JSONP劫持无法在线测试的问题（感谢：dogboy）
修复交互类攻击PoC的目标带有&符号无法正常在线测试（将URL地址进行URL编码再传输 感谢：Vulkey_Chen）
增加漏洞测试模块：点击劫持（按钮）、JavaScript URL跳转、302 URL跳转
PoCBox 开源
开发出来不少时间了，也内测了一段时间，现在放出开源版本，如下图所示：

image.png

搭建平台所需环境：PHP

开源功能：

JSONP劫持、CORS、Flash跨域资源读取、Google Hack语法生成、URL测试字典生成、JavaScript URL跳转、302 URL跳转
结合DoraBox靶场演示 JSONP劫持漏洞 测试

赏金猎人漏洞测试辅助平台PoCBox

开源地址：https://github.com/gh0stkey/PoCBox

推荐几个漏洞的课程（限时免费到3月31日，一共15门免费<<<戳一下看看）

1、Appscan进行Web漏洞扫描与分析（戳一下立即开学）

2、Burp进行Web漏洞扫描与分析（戳一下立即开学）

3、AWVS进行Web漏洞扫描与分析（戳一下立即开学）

4、还有高校生免费课程（戳一下给你惊喜）