|XSScope| Только в ознакомительных целях! Довольно интерес | C.I.T. Security

|XSScope|

Только в ознакомительных целях!

Довольно интересный фреймворк с гуем для эксплуатации браузеров посредством XSS. По ощущениям действительно мощный инструмент и автор лишь чуть приукрасил.
Устанавливается очень просто, только предварительно нужно получить Ngrok Authtoken, либо если уже есть, то ввести при запуске шелл скрипта ./setup.sh.

Основные фичи:
проведение ботнет-атаки XSS
можно осуществлять HTTP-дудос посредством XSS-ботнетов
генерирование Port Forwarding TCP и локального PHP сервера
при необходимости есть генераторо пэйлоадов: Blind, Stored, Reflected и DOM XSS
генерирование локального HTTP сервера
есть Clickjacker(публиковал ранее, приводя ссылки на ресурсы)
модули для слежки(подробнее в самом репозитории)
HTML-code инъекции(фишинг сайт, который создаётся в 2 клика, как пример)

Но, так как протокол HTTP является небезопасным(писал в основном канале, трафик - открытый/незашифрованный), так что как один из вариантов решения, который выбрал для себя - обфускация трафика, пока один из самый лучших.

For educational purposes only!

Quite an interesting framework with a GUI for operating browsers via XSS. It feels like a really powerful tool and the author has only slightly embellished.
It is installed very simply, only first you need to get Ngrok Authtoken, or if you already have it, then enter a shell script when you run it ./setup.sh .

Main features:
conducting an XSS botnet attack
it is possible to carry out HTTP DDoS via XSS botnets
generation of Port Forwarding TCP and local PHP server
if necessary, there are generators of payloads: Blind, Stored, Reflected and DOM XSS
generating a local HTTP server
there is a Clickjacker (published earlier, citing links to resources)
modules for spying (more details in the repository itself)
HTML-code injection (phishing site that is created in 2 clicks, as an example)

But, since the HTTP protocol is insecure (I wrote in the main channel, the traffic is open/unencrypted), so as one of the solutions I chose for myself, traffic obfuscation is still one of the best.

Demo