pocassist是一个 Golang 编写的全新开源漏洞测试框架。
- 简单易用
- 只需要在前端编辑,即可生成poc对批量目标进行测试
- 单二进制文件,无依赖,也无需安装
- 性能优秀
- 支持高并发,多重并发控制,通过使用
ants
实例化协程池,复用 goroutine - 多重内存复用,尽可能小的内存占用
- 支持高并发,多重并发控制,通过使用
- 规则体系
- 完全兼容xray,但又不仅仅是xray。除了支持定义目录级漏洞poc,还支持服务器级漏洞、参数级漏洞、url级漏洞以及对页面内容检测,如果以上还不满足你的需求,还支持加载自定义脚本。
使用之前务必先阅读使用文档!
# 启动服务
./pocassist
# 浏览器访问
http://127.0.0.1:1231
建议使用pocassistdb作为漏洞库。⬇️下载漏洞库最新版本,并在config.yaml
的sqlite
项配置路径。
有想一块维护poc的师傅也可直接向该项目提PR。
如果在使用过程中遇到问题,或者有好的想法或建议,欢迎添加进群沟通(微信群满了,加我微信拉吧)
登录页
规则首页
规则详情
支持一键导入xray规则
单条规则靶机测试
漏洞描述首页
漏洞描述详情
新建批量扫描任务
任务状态
扫描结果
结果首页
组件首页
- 自定义配置。pocassist首次运行时将在当前目录生成
config.yaml
,引擎启动后实时监控配置文件变化,配置文件修改后无需重启,即热加载 - 用户名密码错误:检查数据库配置,以及数据库auth表。建议使用pocassistdb作为漏洞库
- 支持前后端分离部署。前端源码、nginx配置示例可参考pocassistweb
- 其他使用问题请先阅读使用文档
未经授权,使用pocassist攻击目标是非法的。pocassist仅用于安全测试目的。为避免被恶意使用,本项目所有收录的poc均为漏洞的理论判断,不存在漏洞利用过程,不会对目标发起真实攻击和漏洞利用。
pocassist 是 404Team 星链计划2.0 中的一环,如果对 pocassist 有任何疑问又或是想要找小伙伴交流,可以参考星链计划的加群方式。
如果您觉得本项目对您有所帮助,请不要吝啬一个⭐哦!
- https://github.com/chaitin/xray/tree/master/pocs
- https://phith0n.github.io/xray-poc-generation/
- https://github.com/jjf012/gopoc
- https://codelabs.developers.google.com/codelabs/cel-go#0
- https://github.com/projectdiscovery/nuclei
- https://github.com/projectdiscovery/nuclei-templates/