当前仓库属于关闭状态,部分功能使用受限,详情请查阅 仓库状态说明
该仓库未声明开源许可证文件(LICENSE),使用请关注具体项目描述及其代码上游依赖。
克隆/下载
贡献代码
同步代码
取消
提示: 由于 Git 不支持空文件夾,创建文件夹后会生成空的 .keep 文件
Loading...
README

前言:本产品于2017年11月将部分版权交由“阿里云先知安全社区”,关注“先知安全社区”发送“设计文档”即可获得。

输入图片说明

一、前言 ImXSS是国内首套Java研发的Xss跨站脚本测试平台。ImXSS前身是XssAPP,秉承高效、快速、稳定、易用的原则。主要用于技术研究与交流

在线地址:http://imxss.com/

二、业务说明 跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。

三、背景 网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。

四、简介 用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。有关攻击方法的详细情况将在下面阐述。

五、技术介绍 首页模板:收集于chinaz.com,由于本系统为非盈利性产品,故此感谢网友分享。

前端UI :采用Amaze UI

后端语言:Java

技术框架:Spring SpringMvc Jdbc (XssAPP采用的是SpringMvc+ Hibernate)

技术特征:全MVC模式,内置缓存功能,缓存接口(可拓展集群版),无跨表操作,轻量化框架。

自主技术: 在线调试平台:https://www.oschina.net/p/simple-debug

切面缓存:https://www.oschina.net/p/simple-cache

多主从Orm:https://www.oschina.net/p/simple-edbc

六、业务特征 支持屏蔽来源地址(屏蔽方式:Ant通配表达式),解决部分无用信封轰炸问题。

支持对来源地址单独定制模板(Ant表达式),解决对某些站点定制规则。

支持自定义发信服务器,解决平台信封过多导致发信失败问题。

支持Http/Https同时使用,解决不确定后台站点协议问题。

PC端

输入图片说明 调试中心 输入图片说明

移动端 h5自适应

输入图片说明

输入图片说明

空文件

简介

国内首款Java研发并上线的Xss漏洞测试平台。为XssAPP升级版。性能提升数倍,兼容移动端。(注:该项目版权17年11月交由给阿里先知) 展开 收起
Java
取消

发行版

暂无发行版

贡献者

全部

近期动态

不能加载更多了
马建仓 AI 助手
尝试更多
代码解读
代码找茬
代码优化