![Dalfox | Автоматичний сканер вразливостей XSS 16237_1](/userfiles/21/16237_1.webp)
В даній статті піде мова про автоматичне сканері вразливостей XSS під назвою Dalfox. Читачі дізнаються про можливості програми для виявлення недоліків у захисті веб-систем.
ВступDalfox - це швидкий і потужний сканер вразливостей XSS ( «міжсайтовий скриптинг»), створений на базі DOM-парсера. Крім пошуку проблем, пов'язаних з XSS-атаками, він також має додаткові функції для тестування веб-системи на наявність SQLi, SSTI і Open Redirect. Сканер може виявляти різні типи XSS-вразливостей: «reflected», «stored» і «blind».
Установка сканера DalfoxЄ безліч варіантів установки програми. Одним з найпопулярніших способів є інсталяція за допомогою Homebrew.
Установка за допомогою SnapcraftДля цього методу установки потрібна наявність Snapcraft. Читачі можуть дізнатися, чи встановлений Snap в їх системі, ввівши спеціальну команду ( «snap»). Якщо програма не була встановлена раніше, варто перейти по посиланню нижче, щоб зробити її інсталяцію.
sudo snap install dalfox
Для здійснення установки Dalfox за допомогою наступних двох методів, користувачеві необхідно скористатися останньою версією популярного мови програмування Go. Людина може перевірити версію встановленої мови за допомогою команди «go version». Якщо Go ні раніше встановлений, то слід перейти за посиланням нижче, щоб зробити його інсталяцію.
Установка Go з оригінального джерелаGO111MODULE = on go get -v github.com/hahwul/dalfox/v2
Установка Go з GitHubgit clone https://github.com/hahwul/dalfox cd dalfox go build
Установка за допомогою Dockerdocker pull hahwul / dalfox: latest
Читачам слід ввести дану команду:
docker run -it hahwul / dalfox: latest / app / dalfox url https://www.hahwul.com
Наведений нижче метод працює тільки на MacOS.
Установка за допомогою Homebrewbrew tap hahwul / dalfox brew install dalfox
Принципи роботи DalfoxСканування певного URL
dalfox url http://testphp.vulnweb.com/listproducts.php
Сканування безлічі URL
Dalfox також може сканувати кілька URL-адрес одночасно.
cat samples / sample_target.txt | dalfox pipe
або
dalfox file ./samples/sample_target.txt
Користувач може використовувати команду «paramspider» для пошуку певного параметра, а потім вставити кілька URL-адрес в Dalfox, щоб отримати більш точні результати сканування.
![Dalfox | Автоматичний сканер вразливостей XSS 16237_2](/userfiles/21/16237_2.webp)
Підводячи підсумок, варто сказати, що це швидкий інструмент для пошуку XSS та інших популярних вразливостей веб-систем. Інструмент видає мало помилкових спрацьовувань і володіє додатковими функціями для пошуку різного виду проблем безпеки.
Важливо! Інформація виключно в навчальних цілях. Будь ласка, дотримуйтесь усіх законів і не застосовуйте цю інформацію в незаконних цілях.
Більше цікавого матеріалу на cisoclub.ru. Підписуйтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | дзен | Мессенджер | ICQ New | YouTube | Pulse.