ezXSS

ezXSS 是渗透测试人员和漏洞赏金猎人测试（盲）跨站脚本的简单方法。

ezXSS 是一款旨在帮助查找和利用跨站脚本 (XSS) 漏洞的工具。 ezXSS 的主要功能之一是它能够识别和利用盲目 XSS 漏洞，而使用传统方法很难发现这些漏洞。
一旦放置了 ezXSS 有效负载，用户必须等待它被触发，此时 ezXSS 将存储并向用户发出易受攻击页面的所有信息。这些报告可用于进一步识别和跟踪重要数据。甚至可以更新有效负载以使 XSS 持久存在，从而允许在所有访问的页面上跟踪受感染的用户并打开反向代理。

特征

• 易于使用的仪表板，包含设置、统计数据、有效负载、查看/共享/搜索报告

• 只要浏览器处于活动状态，就会使用反向代理持续进行 XSS 会话

• 管理无限的用户，有权访问个人有效负载及其报告

• 通过邮件、Telegram、Slack、Discord 或自定义回调 URL 发出即时警报

• 自定义额外的 JavaScript 负载

• 自定义有效负载链接以区分插入点

• 提取附加页面、阻止、白名单和其他过滤器

• 使用双因素 (2FA) 保护您的登录

• 可以在易受攻击的页面上收集以下信息：

• 页面的网址

• IP地址

• 任何页面引用者（或共享引用者）

• 用户代理

• 所有非 HTTP-Only Cookie

• 所有区域设置存储

• 所有会话存储

• 页面的完整 HTML DOM 源代码

• 页面来源

• 执行时间

• 负载网址

• 页面截图

• 提取附加定义的页面

• 在所有浏览器中触发，从 Chrome 3+、IE 6+、Firefox 4+、Opera 10.5+、Safari 4+ 开始

• 还有更多，而且，这只是 ez :-)

必需的

• PHP 7.0 或更高版本的服务器或共享网络托管

• 域名（考虑一个短域名或查看 Shortboost）

• 用于在 https 网站上测试的 SSL 证书（考虑使用 Cloudflare 或 Let's Encrypt 获取免费 SSL）

安装

ezXSS 是 ez 与 Apache、NGINX 或 Docker 一起安装

访问 wiki 获取安装说明。

轻松探索 ezXSS

有兴趣使用 ezXSS 但还不想安装吗？不用担心！您可以通过 ez.pe 上的免费帐户访问并开始使用 ezXSS。只需注册并开始使用，无需任何安装麻烦。

此外，如果您想在提交之前探索和测试该工具，可以在 demo.ezxss.com/manage 上找到一个带有管理员帐户的演示环境。

请注意，某些功能可能在 ez.pe 的免费帐户和演示环境中被禁用或受到限制。这些限制是为了维护平台的完整性和安全性。但是，您仍然可以很好地掌握该工具的功能，然后决定自行安装。

赞助商

所有贡献者和赞助商使该项目的维护成为可能。我个人已经在这个项目上工作了 8 年多，花费了数百个小时。请考虑成为赞助商，以便我可以继续维护和改进 ezXSS 以及创建和发布新项目。目前赞助商：

成为赞助商