提高漏洞验证效率的工具

发表于

问题背景

某个xss漏洞点如下:

1
2
3
4
5
<script>
x=document.createElement("script");
x.setAttribute("src", "用户可控的地址");
document.body.appendChild(x);
</script>

虽然xss漏洞肯定是存在的,但是我不知道利用起来是不是会有问题,比如碰到csp等。

所以我在”用户可控地址” 填入 “http://x.x.x.x/1.js" 来验证,于是出现了点问题。

第一个问题:https站点引入http静态资源时,浏览器控制台出现”混合内容”警告。似乎会影响js解析

第二个问题:响应头的content-type需要是text/javascript,否则不能当作js解析

所以我需要一个web服务:

  • 支持https
  • 返回内容可以自定义
  • 响应头content-type可以自定义
  • 支持公网访问

自己去搭这样一个服务也不难,但是如果有现成的岂不是更好,省时省力。

根据历史经验,我知道有两种平台似乎可以解决我的这个小需求:

  • 类似 pastebin 的平台,可以通过短链接访问
  • xss平台

测试这些平台是否好用

http://ix.io : 不支持https

http://pastebin.com: 不支持设置content-type

搜索到的很多xss平台,都需要邀请码。甚至有的注册成功了,但是使用起来有问题。

再比如 xssye.com 这个xss平台我很久以前用过。今天登陆提示账号密码登陆不上,申请密码找回提示邮箱和账号对不上,重新注册又提示”需要注册邀请码”。

总之试了几个,感觉用着比较难受。这些xss平台看前段页面似乎都是一套代码,也不确定是否可能存在漏洞。

有没有稳定好用的服务

想起来云上的文件存储服务,刚好是满足我自己的需求的。

1
2
➜  ~ curl https://webbackup-3knjfg4bxz.bj.bcebos.com/1.js
alert(1);

另外云上的函数服务,还可以写代码对响应做更精细的控制。

总结

云上的 文件存储、函数服务 等很适合快速在公网提供https服务,而且相对于个人自己搭建的服务要稳定省心得多,推荐使用。

当然云上也有很坑的服务,就不说了。