ستتحدث هذه المقالة عن ماسح مشكلة عدم حصانة XSS التلقائية يسمى Dalfox. ستعرف القراء عن إمكانيات البرنامج لتحديد أوجه القصور في حماية أنظمة الويب.
مقدمةDALFOX هو ماسح ثغرات قيمة XSS سريعة وقوية ("البرمجة النصية من النوع المتبادل") تم إنشاؤها على أساس محلل DOM. بالإضافة إلى إيجاد مشاكل مرتبطة بهجمات XSS، فإن لديها أيضا ميزات إضافية لاختبار نظام ويب ل SQLI و SSTI وفتح إعادة توجيه. يمكن للماسح الضوئي اكتشاف أنواع مختلفة من نقاط الضعف XSS: "ينعكس"، "المخزنة" و "أعمى".
تثبيت ماسحة Dalfoxهناك العديد من الخيارات لتثبيت البرنامج. واحدة من أكثر الطرق شعبية هي تثبيت استخدام البيرة.
التثبيت باستخدام sningcraft.تتطلب طريقة التثبيت هذه Snapcraft. يمكن للقراء معرفة ما إذا تم تثبيت المفاجئة في نظامهم عن طريق إدخال أمر خاص ("Snap"). إذا لم يتم إنشاء البرنامج مسبقا، فمن الضروري تبديل الرابط أدناه لجعله تثبيت.
سودو المفاجئة تثبيت dalfox
لتنفيذ تثبيت Dalfox باستخدام الطريقة التالية، يجب استخدام المستخدم من قبل أحدث إصدار من لغة البرمجة الشعبية. يمكن للشخص التحقق من إصدار اللغة المثبتة باستخدام أمر GO إصدار. إذا لم يتم تثبيت Go مسبقا، فاتبع الرابط أدناه لجعله تثبيت.
تثبيت الذهاب من المصدر الأصليgo1111module = on get get -v github.com/hahwul/dalfox/v2
تثبيت الذهاب مع جيثباستنساخ git https://github.com/hahwul/dalfox cd dalfox الذهاب بناء
التثبيت مع docker.Docker سحب هوفول / دالفوكس: الأحدث
يجب أن يدخل القراء هذا الأمر:
Run Docker Run -it Hahwul / dalfox: أحدث / app / url dalfox https://www.hahwul.com
تعمل الطريقة أدناه فقط على MacOS.
تركيب مع البيرةالمشروب الحنفية Hahwul / Dalfox Brew تثبيت Dalfox
مبادئ العمل Dalfoxمسح عنوان URL محدد
URL DALFOX http://testphp.vulnweb.com/listproducts.php.
مسح مجموعة من URL
يمكن أيضا مسح Dalfox عناوين URL متعددة في وقت واحد.
عينات القط / sample_target.txt | أنبوب dalfox.
أو
ملف dalfox ./samples/sample_target.txt.
يمكن للمستخدم استخدام أمر ParamSpider للبحث عن معلمة محددة، ثم أدخل عناوين URL متعددة في Dalfox للحصول على نتائج مسح أكثر دقة.
تلخيص، تجدر الإشارة إلى أن هذه أداة سريعة للبحث عن XSS وغيرها من نقاط الضعف الشائعة لأنظمة الويب. توفر الأداة الإيجابيات الخاطئة قليلا ولها ميزات إضافية للبحث عن أنواع مختلفة من مشاكل السلامة.
مهم! المعلومات فقط للأغراض الأكاديمية. يرجى الامتثال للتشريع ولا تطبق هذه المعلومات لأغراض غير قانونية.
مواد أكثر إثارة للاهتمام على cisoclub.ru. اشترك في الولايات المتحدة: Facebook | VK |. تويتر | Instagram |. برقية |. زن |. رسول |. ICQ جديد | يوتيوب | نبض.