![Dalfox | Аўтаматычны сканер уразлівасцяў XSS 16237_1](/userfiles/21/16237_1.webp)
У дадзеным артыкуле пойдзе гаворка аб аўтаматычным сканары уразлівасцяў XSS пад назвай Dalfox. Чытачы даведаюцца пра магчымасці праграмы для выяўлення недахопаў у абароне вэб-сістэм.
ўвядзеннеDalfox - гэта хуткі і магутны сканер уразлівасцяў XSS ( «межсайтовый скріптінга»), створаны на базе DOM-парсера. Акрамя пошуку праблем, звязаных з XSS-нападамі, ён таксама мае дадатковыя функцыі для тэставання вэб-сістэмы на наяўнасць SQLi, SSTI і Open Redirect. Сканар можа выяўляць розныя тыпы XSS-уразлівасцяў: «reflected», «stored» і «blind».
Ўстаноўка сканэра DalfoxЁсць мноства варыянтаў ўстаноўкі праграмы. Адным з самых папулярных спосабаў з'яўляецца інсталяцыя з дапамогай Homebrew.
Ўстаноўка з дапамогай SnapcraftДля гэтага метаду ўстаноўкі патрабуецца наяўнасць Snapcraft. Чытачы могуць даведацца, ці ўсталяваны Snap ў іх сістэме, увёўшы спецыяльную каманду ( «snap»). Калі праграма не была ўсталяваная раней, варта перайсці па спасылцы ніжэй, каб вырабіць яе інсталяцыю.
sudo snap install dalfox
Для ажыццяўлення ўстаноўкі Dalfox з дапамогай наступных двух метадаў, карыстачу неабходна скарыстацца апошняй версіяй папулярнага мовы праграмавання Go. Чалавек можа праверыць версію устаноўленага мовы з дапамогай каманды «go version». Калі Go ня быў раней усталяваны, то варта перайсці па спасылцы ніжэй, каб вырабіць яго інсталяцыю.
Ўстаноўка Go з арыгінальнага крыніцыGO111MODULE = on go get -v github.com/hahwul/dalfox/v2
Ўстаноўка Go з GitHubgit clone https://github.com/hahwul/dalfox cd dalfox go build
Ўстаноўка з дапамогай Dockerdocker pull hahwul / dalfox: latest
Чытачам варта ўвесці дадзеную каманду:
docker run -it hahwul / dalfox: latest / app / dalfox url https://www.hahwul.com
Прыведзены ніжэй метад працуе толькі на MacOS.
Ўстаноўка з дапамогай Homebrewbrew tap hahwul / dalfox brew install dalfox
Прынцыпы працы DalfoxСканаванне пэўнага URL
dalfox url http://testphp.vulnweb.com/listproducts.php
Сканаванне мноства URL
Dalfox таксама можа сканаваць некалькі URL-адрасоў адначасова.
cat samples / sample_target.txt | dalfox pipe
або
dalfox file ./samples/sample_target.txt
Карыстальнік можа выкарыстоўваць каманду «paramspider» для пошуку пэўнага параметру, а затым ўставіць некалькі URL-адрасоў у Dalfox, каб атрымаць больш дакладныя вынікі сканавання.
![Dalfox | Аўтаматычны сканер уразлівасцяў XSS 16237_2](/userfiles/21/16237_2.webp)
Падводзячы вынік, варта сказаць, што гэта хуткі інструмент для пошуку XSS і іншых папулярных уразлівасцяў вэб-сістэм. Інструмент выдае мала ілжывых спрацоўванняў і валодае дадатковымі функцыямі для пошуку рознага выгляду праблем бяспекі.
Важна! Інфармацыя выключна ў навучальных мэтах. Калі ласка, шануйце заканадаўства і не ўжывайце гэтую інфармацыю ў незаконных мэтах.
Больш цікавага матэрыялу на cisoclub.ru. Падпісвайцеся на нас: Facebook | VK | Twitter | Instagram | Telegram | дзэн | мессенджер | ICQ New | YouTube | Pulse.