Dalfox | Аўтаматычны сканер уразлівасцяў XSS

У дадзеным артыкуле пойдзе гаворка аб аўтаматычным сканары уразлівасцяў XSS пад назвай Dalfox. Чытачы даведаюцца пра магчымасці праграмы для выяўлення недахопаў у абароне вэб-сістэм.

ўвядзенне

Dalfox - гэта хуткі і магутны сканер уразлівасцяў XSS ( «межсайтовый скріптінга»), створаны на базе DOM-парсера. Акрамя пошуку праблем, звязаных з XSS-нападамі, ён таксама мае дадатковыя функцыі для тэставання вэб-сістэмы на наяўнасць SQLi, SSTI і Open Redirect. Сканар можа выяўляць розныя тыпы XSS-уразлівасцяў: «reflected», «stored» і «blind».

Ўстаноўка сканэра Dalfox

Ёсць мноства варыянтаў ўстаноўкі праграмы. Адным з самых папулярных спосабаў з'яўляецца інсталяцыя з дапамогай Homebrew.

Ўстаноўка з дапамогай Snapcraft

Для гэтага метаду ўстаноўкі патрабуецца наяўнасць Snapcraft. Чытачы могуць даведацца, ці ўсталяваны Snap ў іх сістэме, увёўшы спецыяльную каманду ( «snap»). Калі праграма не была ўсталяваная раней, варта перайсці па спасылцы ніжэй, каб вырабіць яе інсталяцыю.

sudo snap install dalfox

Для ажыццяўлення ўстаноўкі Dalfox з дапамогай наступных двух метадаў, карыстачу неабходна скарыстацца апошняй версіяй папулярнага мовы праграмавання Go. Чалавек можа праверыць версію устаноўленага мовы з дапамогай каманды «go version». Калі Go ня быў раней усталяваны, то варта перайсці па спасылцы ніжэй, каб вырабіць яго інсталяцыю.

Ўстаноўка Go з арыгінальнага крыніцы

GO111MODULE = on go get -v github.com/hahwul/dalfox/v2

Ўстаноўка Go з GitHub

git clone https://github.com/hahwul/dalfox cd dalfox go build

Ўстаноўка з дапамогай Docker

docker pull hahwul / dalfox: latest

Чытачам варта ўвесці дадзеную каманду:

docker run -it hahwul / dalfox: latest / app / dalfox url https://www.hahwul.com

Прыведзены ніжэй метад працуе толькі на MacOS.

Ўстаноўка з дапамогай Homebrew

brew tap hahwul / dalfox brew install dalfox

Прынцыпы працы Dalfox

Сканаванне пэўнага URL

dalfox url http://testphp.vulnweb.com/listproducts.php

Сканаванне мноства URL

Dalfox таксама можа сканаваць некалькі URL-адрасоў адначасова.

cat samples / sample_target.txt | dalfox pipe

або

dalfox file ./samples/sample_target.txt

Карыстальнік можа выкарыстоўваць каманду «paramspider» для пошуку пэўнага параметру, а затым ўставіць некалькі URL-адрасоў у Dalfox, каб атрымаць больш дакладныя вынікі сканавання.

заключэнне

Падводзячы вынік, варта сказаць, што гэта хуткі інструмент для пошуку XSS і іншых папулярных уразлівасцяў вэб-сістэм. Інструмент выдае мала ілжывых спрацоўванняў і валодае дадатковымі функцыямі для пошуку рознага выгляду праблем бяспекі.

Важна! Інфармацыя выключна ў навучальных мэтах. Калі ласка, шануйце заканадаўства і не ўжывайце гэтую інфармацыю ў незаконных мэтах.

Больш цікавага матэрыялу на cisoclub.ru. Падпісвайцеся на нас: Facebook | VK | Twitter | Instagram | Telegram | дзэн | мессенджер | ICQ New | YouTube | Pulse.