Dalfox | Автоматичний сканер вразливостей XSS

В даній статті піде мова про автоматичне сканері вразливостей XSS під назвою Dalfox. Читачі дізнаються про можливості програми для виявлення недоліків у захисті веб-систем.

Вступ

Dalfox - це швидкий і потужний сканер вразливостей XSS ( «міжсайтовий скриптинг»), створений на базі DOM-парсера. Крім пошуку проблем, пов'язаних з XSS-атаками, він також має додаткові функції для тестування веб-системи на наявність SQLi, SSTI і Open Redirect. Сканер може виявляти різні типи XSS-вразливостей: «reflected», «stored» і «blind».

Установка сканера Dalfox

Є безліч варіантів установки програми. Одним з найпопулярніших способів є інсталяція за допомогою Homebrew.

Установка за допомогою Snapcraft

Для цього методу установки потрібна наявність Snapcraft. Читачі можуть дізнатися, чи встановлений Snap в їх системі, ввівши спеціальну команду ( «snap»). Якщо програма не була встановлена ​​раніше, варто перейти по посиланню нижче, щоб зробити її інсталяцію.

sudo snap install dalfox

Для здійснення установки Dalfox за допомогою наступних двох методів, користувачеві необхідно скористатися останньою версією популярного мови програмування Go. Людина може перевірити версію встановленої мови за допомогою команди «go version». Якщо Go ні раніше встановлений, то слід перейти за посиланням нижче, щоб зробити його інсталяцію.

Установка Go з оригінального джерела

GO111MODULE = on go get -v github.com/hahwul/dalfox/v2

Установка Go з GitHub

git clone https://github.com/hahwul/dalfox cd dalfox go build

Установка за допомогою Docker

docker pull hahwul / dalfox: latest

Читачам слід ввести дану команду:

docker run -it hahwul / dalfox: latest / app / dalfox url https://www.hahwul.com

Наведений нижче метод працює тільки на MacOS.

Установка за допомогою Homebrew

brew tap hahwul / dalfox brew install dalfox

Принципи роботи Dalfox

Сканування певного URL

dalfox url http://testphp.vulnweb.com/listproducts.php

Сканування безлічі URL

Dalfox також може сканувати кілька URL-адрес одночасно.

cat samples / sample_target.txt | dalfox pipe

або

dalfox file ./samples/sample_target.txt

Користувач може використовувати команду «paramspider» для пошуку певного параметра, а потім вставити кілька URL-адрес в Dalfox, щоб отримати більш точні результати сканування.

висновок

Підводячи підсумок, варто сказати, що це швидкий інструмент для пошуку XSS та інших популярних вразливостей веб-систем. Інструмент видає мало помилкових спрацьовувань і володіє додатковими функціями для пошуку різного виду проблем безпеки.

Важливо! Інформація виключно в навчальних цілях. Будь ласка, дотримуйтесь усіх законів і не застосовуйте цю інформацію в незаконних цілях.

Більше цікавого матеріалу на cisoclub.ru. Підписуйтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | дзен | Мессенджер | ICQ New | YouTube | Pulse.