Giới thiệu
Knoxss là một nền tảng kiểm thử bảo mật tự động hóa, tập trung vào phát hiện các lỗ hổng Cross-site Scripting (XSS) hiện đại và phức tạp nhất hiện nay. Được phát triển với triết lý “Confidence by Design”, Knoxss mang đến cho pentester và bug hunter một bộ công cụ tấn công chủ động với các kỹ thuật JavaScript injection thông minh, khả năng bypass filter, kiểm tra đa ngữ cảnh và báo cáo tự động.
Tính năng nổi bật
Phạm vi kiểm tra XSS
| Loại XSS | Ngữ cảnh | Mô tả |
|---|---|---|
| Source-based XSS | HTML, JavaScript, XML | Kiểm tra lỗ hổng XSS truyền thống ở nhiều ngữ cảnh khác nhau. |
| DOM-based XSS | Document Sink, Location Sink, Execution Sink | Phát hiện XSS xuất phát từ thao tác DOM phía client. |
| Blind XSS | Email Report, Custom Payloads | Tự động gửi báo cáo khi payload thực thi thành công ở môi trường khác. |
Kỹ thuật Injection & Scope
| Scope | Kỹ thuật | Mô tả |
|---|---|---|
| POST Body | Value & Name | Inject vào giá trị và tên tham số POST. |
| URL Parameters | Value & Name | Inject vào giá trị và tên tham số URL. |
| URL Path | 3 Levels Deep | Inject sâu vào nhiều cấp đường dẫn URL. |
| URL Fragment | – | Kiểm tra lỗ hổng qua phần fragment của URL. |
| Base64/Double Encode | – | Hỗ trợ encode để vượt qua filter. |
| Multi Injection/Context | – | Inject nhiều payload, kiểm tra đa ngữ cảnh. |
| Parameter Guessing | – | Tự động đoán tên tham số tiềm năng. |
| Custom Headers | – | Cho phép xác thực với header do người dùng cung cấp. |
Tính năng độc quyền & Bypass
| Tính năng | Mô tả |
|---|---|
| XSS Polyglots | Sử dụng các payload đa hình để tăng xác suất khai thác thành công. |
| PoC Checking | Tự động kiểm tra khả năng thực thi proof-of-concept. |
| ReferenceError Fix | JS Object Hoisting & Override để vượt qua lỗi ReferenceError. |
| Filter Bypass | Obfuscation, bypass CSP cơ bản, kiểm tra định dạng URL/email, evasion bằng I/O differences. |
Lợi ích khi sử dụng Knoxss
- Tự động hóa kiểm tra XSS đa dạng, tiết kiệm thời gian và công sức.
- Phát hiện cả các lỗ hổng XSS phức tạp (DOM-based, Blind XSS).
- Tích hợp báo cáo email cho Blind XSS, phù hợp cho pentest thực chiến.
- Hỗ trợ nhiều kỹ thuật bypass filter, tăng khả năng tìm bug thực tế.
- Giao diện hiện đại, dễ sử dụng cho cả người mới và chuyên gia.
Kết luận
Knoxss là một công cụ đột phá trong lĩnh vực kiểm thử bảo mật phía client, đặc biệt là XSS. Nếu bạn là pentester, bug hunter hoặc chuyên gia bảo mật web, Knoxss sẽ là trợ thủ đắc lực giúp bạn phát hiện các lỗ hổng XSS một cách nhanh chóng, hiệu quả và chuyên nghiệp.
Source : https://knoxss.pro
