Мощный JavaScript инструмент для тестирования веб-уязвимостей и эксплуатации. Инструмент автоматизирует процесс обнаружения и тестирования различных типов веб-уязвимостей, предоставляя детальный анализ безопасности веб-приложений.
- Directory Traversal: Тестирование обхода директорий
- File Inclusion: Тестирование включения файлов (LFI/RFI)
- XSS Testing: Обнаружение Cross-Site Scripting уязвимостей
- SQL Injection: Тестирование SQL инъекций
- Command Injection: Тестирование инъекций команд
- SSRF: Тестирование Server-Side Request Forgery
- Open Redirect: Тестирование открытых перенаправлений
- CSRF: Тестирование Cross-Site Request Forgery
- Information Disclosure: Поиск утечек информации
git clone https://github.com/BengaminButton/xillen-web-exploitation
cd xillen-web-exploitation
npm install# Базовое использование
node web_exploit.js https://example.com
# С дополнительными опциями
node web_exploit.js https://example.com --timeout 15000 --user-agent "CustomAgent/1.0"target_url: URL цели для тестирования (обязательный)--timeout: Таймаут запросов в миллисекундах (по умолчанию: 10000)--user-agent: Пользовательский User-Agent (по умолчанию: XillenWebExploit/1.0)
Тестирует различные векторы обхода директорий:
../../../etc/passwd..\\..\\..\\windows\\system32\\drivers\\etc\\hosts- URL-encoded варианты
Тестирует локальное и удаленное включение файлов:
- Параметры:
file,page,include,path,doc - Различные кодировки и обходы
Обнаруживает отраженные XSS уязвимости:
<script>alert("XSS")</script><img src=x onerror=alert("XSS")>- SVG и iframe векторы
Тестирует различные типы SQL инъекций:
- Boolean-based
- Union-based
- Error-based
- Time-based
Тестирует инъекции команд:
- Unix команды (
ls -la,dir) - Различные разделители (
;,|,&,&&,||)
Тестирует Server-Side Request Forgery:
- Локальные адреса (
localhost,127.0.0.1) - Файловые протоколы
- Специальные протоколы (dict, gopher)
Тестирует открытые перенаправления:
- Внешние домены
- JavaScript схемы
- Файловые протоколы
Тестирует Cross-Site Request Forgery:
- POST запросы
- Различные действия (create, update, delete)
Поиск утечек информации:
- Конфигурационные файлы
- Системная информация
- Отладочная информация
[+] Starting XILLEN Web Exploitation on: https://example.com
============================================================
[+] Testing directory traversal...
[+] Testing file inclusion...
[+] Testing XSS vulnerabilities...
[!] XSS found: <script>alert("XSS")</script>
[+] Testing SQL injection...
[!] SQL injection found: ' OR '1'='1
[+] Testing command injection...
[+] Testing SSRF vulnerabilities...
[+] Testing open redirect...
[+] Testing CSRF vulnerabilities...
[+] Testing information disclosure...
[!] Information disclosure: /robots.txt
[+] Web exploitation completed!
[+] Results saved to: web_exploit_results_1234567890.json
[+] Report saved to: web_exploit_report_1234567890.txt
- JSON Results: Детальные результаты всех тестов
- Text Report: Человекочитаемый отчет с рекомендациями
- SQL Injection: Прямой доступ к базе данных
- Command Injection: Выполнение системных команд
- File Inclusion: Доступ к системным файлам
- SSRF: Доступ к внутренним сервисам
- XSS: Выполнение вредоносного кода
- CSRF: Неавторизованные действия
- Open Redirect: Перенаправление на вредоносные сайты
- Directory Traversal: Обход ограничений доступа
- Information Disclosure: Утечка чувствительной информации
- Node.js 14.0.0 или выше
- Доступ к интернету для тестирования внешних целей
- @Bengamin_Button - Основной разработчик
- @XillenAdapter - Технический консультант
- 🌐 Website: https://benjaminbutton.ru/
- 🔗 Organization: https://xillenkillers.ru/
- 📱 Telegram: t.me/XillenAdapter
MIT License - свободное использование и модификация
Для вопросов и предложений обращайтесь через Telegram или создавайте Issues на GitHub.
XILLEN Web Exploitation Tool - профессиональный инструмент для тестирования безопасности веб-приложений