SoloXSS:一款现代化的自托管 XSS平台

SoloXSS:一款现代化的自托管 XSS平台 什么是 SoloXSSXSS平台在 Web 安全测试中XSS跨站脚本的验证一直是个痛点——你需要一个可信任的XSS平台外部服务器来接收 Payload 回连而公共平台往往有数据泄露风险、访问限制或不稳定的问题。SoloXSS - 全新多功能 XSS 测试平台SoloXSS 是一款完全自托管的 XSS 验证平台你部署在自己的服务器上数据不经过任何第三方专为授权渗透测试和安全研究设计。市面上有不少 XSS 接收平台但 SoloXSS 的定位从一开始就不是简单地接收回连。它是面向专业安全研究人员设计的完整作战平台能力普通 XSS 平台SoloXSS数据回连接收✅✅截图回传❌✅实时 JS 命令推送❌✅多模块灵活组合❌✅钓鱼邮件追踪❌✅数据完全私有❌✅多用户隔离❌✅功能亮点一、多项目隔离管理平台支持创建多个独立探测项目每个项目拥有专属的探针 ID 和回连地址项目之间数据完全隔离。你可以同时跑多个授权测试目标互不干扰日志清晰归档。支持JS 代码混淆功能生成的探针脚本可一键开启混淆显著提升对基础 WAF 的绕过能力不再轻易被拦截。二、模块仓库比你想象的更强这是平台最核心的能力之一。内置多类探测模块覆盖从信息收集到权限获取的完整攻击面信息采集类获取 Cookie含 HttpOnly 特殊处理读取 LocalStorage / SessionStorage抓取网页完整源码截取受害者当前页面截图是的真实截图实时传回持续监控类键盘记录模块会话保活保持 WebSocket 长连接不断线钓鱼渗透类服务端托管钓鱼 HTML 页面账号密码表单钓鱼数据实时回传诱导下载模块权限探测类摄像头、麦克风权限请求地理位置获取每个模块支持自定义 JS 载荷、额外数据回连字段高级用户可以完全自定义模块逻辑平台负责数据接收和展示。三、载荷工坊Payload 一站式生成按项目自动生成对应的 XSS Payload按绕过强度分为三个等级强绕过多重编码、事件注入、DOM 操作等隐蔽方式中等常规变形适配大多数过滤规则易拦截基础 Payload用于确认存在内置短链生成功能将冗长的 Payload URL 压缩成短链接更适合嵌入社工场景点击计数和访问记录一并追踪。四、访问日志每一次触发完整存档XSS 触发后平台自动记录完整回连现场受害者真实 IP 精确归属地省市级触发页面 URL 与标题完整 HTTP 请求头浏览器型号、操作系统、屏幕分辨率页面截图如已启用截图模块模块回传数据Cookie、Storage、键盘记录等结构化展示在详情面板中支持多维度筛选按项目、IP、域名、在线状态过滤方便快速定位目标。五、会话管理你不只是在收数据你在控制浏览器这是让很多人眼前一亮的功能。当 XSS 触发后受害者浏览器与平台建立WebSocket 实时连接在会话管理页面你可以看到哪个 IP、哪个页面、当前是否在线在线时长、最近活跃时间而对于在线的会话你可以推送任意 JS 命令实时执行结果直接回显——这才是存储型 XSS 真正的利用价值所在。六、钓鱼活动XSS 社工的完整闭环平台内置完整的鱼叉式钓鱼邮件套件与 XSS 模块深度联动精美邮件模板库内置多套高度仿真的企业通知邮件财务部费用报销审批通知HR 薪资调整方案确认IT 安全账号密码即将过期警告行政年度健康体检预约……模板支持变量渲染{{Name}}、{{Company}}、{{Year}}等每封邮件都能个性化定制。发送与追踪全自动批量导入收件人姓名、职位、部门、公司等字段自定义 SMTP 配置用自己的发件服务器开信追踪谁打开了邮件几点打开IP 是什么点击追踪谁点了链接跳转到哪里数据看板发送量、开信率、点击率一目了然配合 XSS 探针完成从邮件投递到浏览器控制的完整攻击链演示。七、推送通知触发秒级到达不需要盯着后台。XSS 一旦触发平台立即通过Telegram Bot或邮件推送告警精确到项目级别出门在外也能第一时间知道目标触发了。八、项目地址SoloXSS - 授权红队 XSS 盲打回连与凭据采集控制台感兴趣的朋友可以私信或在评论区留言