SoloXSS:一款现代化的自托管 XSS平台

什么是 SoloXSS?

在 Web 安全测试中,XSS(跨站脚本)的验证一直是个痛点------你需要一个可信任的外部服务器来接收 Payload 回连,而公共平台往往有数据泄露风险、访问限制或不稳定的问题。

项目地址:SoloXss平台

SoloXSS - 全新多功能 XSS 测试平台

SoloXSS 是一款完全自托管的 XSS 验证平台,你部署在自己的服务器上,数据不经过任何第三方,专为授权渗透测试和安全研究设计。

市面上有不少 XSS 接收平台,但 SoloXSS 的定位从一开始就不是简单地"接收回连"。

它是面向专业安全研究人员设计的完整作战平台:

能力 普通 XSS 平台 SoloXSS

数据回连接收 ✅ ✅

截图回传 ❌ ✅

实时 JS 命令推送 ❌ ✅

多模块灵活组合 ❌ ✅

钓鱼邮件追踪 ❌ ✅

数据完全私有 ❌ ✅

多用户隔离 ❌ ✅

功能亮点

一、多项目隔离管理

平台支持创建多个独立探测项目,每个项目拥有专属的探针 ID 和回连地址,项目之间数据完全隔离。

你可以同时跑多个授权测试目标,互不干扰,日志清晰归档。

支持 JS 代码混淆功能,生成的探针脚本可一键开启混淆,显著提升对基础 WAF 的绕过能力,不再轻易被拦截。

二、模块仓库:比你想象的更强

这是平台最核心的能力之一。

内置多类探测模块,覆盖从信息收集到权限获取的完整攻击面:

信息采集类

获取 Cookie(含 HttpOnly 特殊处理)

读取 LocalStorage / SessionStorage

抓取网页完整源码

截取受害者当前页面截图(是的,真实截图,实时传回)

持续监控类

键盘记录模块

会话保活,保持 WebSocket 长连接不断线

钓鱼渗透类

服务端托管钓鱼 HTML 页面

账号密码表单钓鱼,数据实时回传

诱导下载模块

权限探测类

摄像头、麦克风权限请求

地理位置获取

每个模块支持自定义 JS 载荷、额外数据回连字段,高级用户可以完全自定义模块逻辑,平台负责数据接收和展示。

三、载荷工坊:Payload 一站式生成

按项目自动生成对应的 XSS Payload,按绕过强度分为三个等级:

🟢 强绕过:多重编码、事件注入、DOM 操作等隐蔽方式

🟡 中等:常规变形,适配大多数过滤规则

🔴 易拦截:基础 Payload,用于确认存在

内置短链生成功能,将冗长的 Payload URL 压缩成短链接,更适合嵌入社工场景,点击计数和访问记录一并追踪。

四、访问日志:每一次触发,完整存档

XSS 触发后,平台自动记录完整回连现场:

受害者真实 IP + 精确归属地(省市级)

触发页面 URL 与标题

完整 HTTP 请求头

浏览器型号、操作系统、屏幕分辨率

页面截图(如已启用截图模块)

模块回传数据:Cookie、Storage、键盘记录等,结构化展示在详情面板中

支持多维度筛选:按项目、IP、域名、在线状态过滤,方便快速定位目标。

五、会话管理:你不只是在收数据,你在控制浏览器

这是让很多人眼前一亮的功能。

当 XSS 触发后,受害者浏览器与平台建立 WebSocket 实时连接,在会话管理页面你可以看到:

哪个 IP、哪个页面、当前是否在线

在线时长、最近活跃时间

而对于在线的会话,你可以推送任意 JS 命令,实时执行,结果直接回显------这才是存储型 XSS 真正的利用价值所在。

六、钓鱼活动:XSS + 社工的完整闭环

平台内置完整的鱼叉式钓鱼邮件套件,与 XSS 模块深度联动:

精美邮件模板库,内置多套高度仿真的企业通知邮件:

财务部费用报销审批通知

HR 薪资调整方案确认

IT 安全账号密码即将过期警告

行政年度健康体检预约

......

模板支持变量渲染:{{Name}}、{{Company}}、{{Year}} 等,每封邮件都能个性化定制。

发送与追踪全自动:

批量导入收件人(姓名、职位、部门、公司等字段)

自定义 SMTP 配置,用自己的发件服务器

开信追踪:谁打开了邮件,几点打开,IP 是什么

点击追踪:谁点了链接,跳转到哪里

数据看板:发送量、开信率、点击率一目了然

配合 XSS 探针,完成从邮件投递到浏览器控制的完整攻击链演示。

七、推送通知:触发,秒级到达

不需要盯着后台。

XSS 一旦触发,平台立即通过 Telegram Bot 或邮件推送告警,精确到项目级别,出门在外也能第一时间知道目标触发了。

SoloXSS - 授权红队 XSS 盲打回连与凭据采集控制台

感兴趣的朋友可以私信或在评论区留言

官方:https://sxss.me

相关推荐
技术不好的崎鸣同学4 小时前
[极客大挑战 2019]EasySQL 思路及解法
网络·安全·web安全
AI创界者5 小时前
【实战演练】基于 Kali Linux 的自动化漏洞扫描与安全加固指南
网络·安全·web安全
技术不好的崎鸣同学18 小时前
[ACTF2020 新生赛]Exec 思路及解法
算法·安全·web安全
云水一下1 天前
DVWA从入门到精通(十一):XSS (Stored)(存储型XSS)
web安全·xss·dvwa·存储型
介一安全1 天前
【SRC】基础思路篇10:越权与未授权访问完全指南
web安全·安全性测试·src·越权
Chockmans1 天前
春秋云境CVE-2021-42897(保姆级教学)
计算机网络·安全·web安全·网络安全·安全威胁分析·春秋云境·cve-2021-42897
四月天432 天前
web安全-SSTI(服务器模板注入)
笔记·学习·web安全·网络安全
技术不好的崎鸣同学2 天前
[MRCTF2020]PYWebsite 思路及解法
安全·web安全
有浔则灵2 天前
网络安全核心知识梳理:从OSI模型到密码技术
网络·安全·web安全