Self Hosted Blind XSS Mirip XSS Hunter dengan ezXSS
Halo gays pernahkah kalian mencoba XSS Hunter?. Bagi seorang bug hunter atau pentester pasti tidak asing dengan platform XSS Hunter.
Jika kamu sebelumnya memakai XSS Hunter tapi mungkin ingin menyimpan hasilnya di server sendiri. ezXSS ini berguna untukmu karena tools ini bersifat open source sehingga kamu bisa menggunakannya secara bebas.
Fitur ezXSS
- Easy to use dashboard with statistics, payloads, view/share/search reports
- Payload generator
- Instant alerts via mail, Telegram or custom callback URL
- Custom javascript payloads
- Custom payload links to distinguish insert points
- Block, whitelist and other filters
- Share reports with a direct link, via email or with other ezXSS users
- Secure your login with Two-factor (2FA)
- The following information can be collected on a vulnerable page:
- The URL of the page
- IP Address
- Any page referer (or share referer)
- The User-Agent
- All Non-HTTP-Only Cookies
- All Locale Storage
- All Session Storage
- Full HTML DOM source of the page
- Page origin
- Time of execution
- Payload URL
- Screenshot of the page
- Extract additional defined pages
Cara Installasi
Langkah Pertama Clone Git ezXSS
git clone https://github.com/ssl/ezXSS.git
Buatlah database untuk ezXSS
Ubah file .env.example menjadi .env
Setting .env sesuaikan dengan database yang kamu buat
Langkah Kedua Penginstallan
Selanjutnya buka browser dan lakukan penginstallan
https://domainmu/manage/install
Jika sudah maka tampilannya seperti dibawah ini
Masukkan password dan email untuk kamu login
Jika sudah kalian akan masuk ke menu dashboard
Di Menu Setting
Kamu bisa mengganti email untuk report hasil blind XSS yang kamu dapatkan
Dan juga dapat membuat report melalui Bot Telegram buatanmu sendiri lho
Di Menu Payload
Kamu dapat melihat payload dan melakukan custom payload juga serta mengatur apa saja yang ingin kamu curi data dari korban
Di Menu Reports
Jika kamu jarang membuka email atau telegram kamu juga tetap menerima hasil report an di situs server kamu di menu reports
Di Menu Archive
Nah dimenu terakhir ini mirip dengan menu reports sebelumnya hanya saja ini ditambah tulisan archive hehe..
Hasil Report Via Telegram
Hasil Report Via Email
ezXSS ini bermanfaat buat kamu yang pengen beralih dari XSS Hunter dan menerima hasil report lewat Telegram. Sebenarnya tidak ada beda dari XSS Hunter dari segi efisiensi juga hampir mirip tidak banyak berubah jadi sesuaikan saja dengan kebutuhanmu karena kalo ezXSS ini harus dihostingkan, kalo cuma dilocalhost kan kita gak tau kapan victim buka hasil blind XSS kita. Nah kalo kita lagi gak onlinekan localhost nya kan hasil report gak masuk. JIka pake XSSHunter gaperlu hosting sendiri tinggal pake aja.
Semua itu tergantung yang kalian mau.
Makasih dah berkunjung