PocGEN - 概念验证生成器

一款Python命令行工具，用于生成专业的安全漏洞概念验证报告。PocGEN可为常见的Web应用程序安全漏洞创建标准化、格式良好的Markdown报告。

功能特性

• 🛡️ 多种漏洞类型支持：支持XSS、SQL注入、CORS、开放重定向、安全头、IDOR、路径遍历、速率限制和点击劫持
• 📄 基于模板：使用可定制的Markdown模板确保报告一致性
• 🎯 专业输出：生成包含影响分析和修复步骤的详细PoC报告
• 📊 严重性分类：支持低、中、高和严重四个严重性等级
• 🗂️ 有序输出：自动将报告保存到reports/目录

支持的漏洞类型

安装

1. 克隆仓库：

1
2

git clone 
cd PocGEN

2. 确保系统已安装Python 3.6+

3. 该工具仅使用Python标准库，无需额外依赖

使用方法

基本语法

1

python pocgen.py --type  --url  --title  --severity  --out  [附加选项]

必需参数

• --type：漏洞类型
• --url：目标URL
• --title：报告标题
• --severity：严重性等级
• --out：输出文件名

类型特定参数

• --param：易受攻击的参数
• --payload：利用载荷
• --origin：恶意来源
• --redirect：重定向目标URL
• --headers：缺失头列表

示例

跨站脚本攻击

1

python pocgen.py --type xss --url "https://vulnerable-app.com/search" --param query --payload "alert('XSS')" --title "搜索功能中的反射型XSS" --severity high --out test_xss.md

SQL注入

1

python pocgen.py --type sqli --url "https://api.example.com/users" --param user_id --payload "1' UNION SELECT username,password FROM users--" --title "用户查询中的SQL注入" --severity critical --out test_sqli.md

输出结构

生成的报告包含：

• 漏洞摘要：类型、严重性和日期
• 易受攻击端点：URL、参数和HTTP方法
• 概念验证：分步复现步骤
• 请求示例：带载荷的HTTP请求样本
• 影响分析：潜在安全影响
• 风险评级：详细的严重性评估
• 修复步骤：可行的缓解建议
• 参考资料：相关安全资源链接

目录结构

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

PocGEN/
├── pocgen.py              # 主应用程序

├── templates/             # 漏洞报告模板
│   ├── xss.md
│   ├── sqli.md
│   ├── cors.md
│   └── ...
└── reports/               # 生成的PoC报告
    ├── test_xss.md
    ├── test_sqli.md
    └── ...

自定义

模板修改

模板位于templates/目录，使用占位符变量自动替换：

• {title} - 报告标题
• {severity} - 严重性等级
• {url} - 目标URL
• {payload} - 利用载荷等

错误处理

工具提供清晰的错误信息：

• 缺少必需参数
• 无效的漏洞类型
• 缺失模板文件
• 文件写入权限问题

许可证

该工具仅用于合法的安全测试和教育目的。测试应用程序前请确保获得适当授权。