Тази статия ще говори за автоматичния скенер за уязвимост XSS, наречен Dalfox. Читателите ще научат за възможностите на програмата за идентифициране на недостатъци в защитата на уеб системите.
ВъведениеDalfox е бърз и мощен скенер за уязвимост XSS ("скриптове на кръстосания тип"), създаден въз основа на DOM Parser. В допълнение към намирането на проблеми, свързани с XSS атаки, той има и допълнителни функции за тестване на уеб система за SQLI, SSTI и Open Redirect. Скенерът може да открие различни видове XSS уязвимости: "отразява", "съхранен" и "сляп".
Инсталиране на скенера DalfoxИма много възможности за инсталиране на програмата. Един от най-популярните начини е да инсталирате използването на Homebrew.
Инсталиране с помощта на Snapcraft.Този метод на инсталиране изисква Snapcraft. Читателите могат да разберат, ако Snap е инсталиран в системата си, като въведете специална команда ("Snap"). Ако програмата не е установена по-рано, е необходимо да превключите връзката по-долу, за да го инсталирате.
Sudo Snap Инсталиране на dalfox
За да приложите инсталацията на Dalfox, като използвате следните два метода, потребителят трябва да се използва от най-новата версия на популярния език за програмиране. Човек може да провери версията на инсталирания език, като използва командата версия на Go. Ако отидете преди това не е инсталиран, след това следвайте връзката по-долу, за да го инсталирате.
Инсталиране на оригиналния източникGo111module = on go get -v github.com/hahwul/dalfox/v2
Инсталиране на GithubGit клонинг https://github.com/hahwul/dalfox cd dalfox go build
Инсталиране с докерDocker Pull Hahwul / Dalfox: Последно
Читателите трябва да въведат тази команда:
Docker Run -it Hahwul / Dalfox: Последни / App / Dalfox URL адрес https://www.hahwul.com
Методът по-долу работи само на MacOs.
Инсталация с HomebrewBrew Tap Hahwul / Dalfox Braw Инсталирайте Dalfox
Принципи на работа ДалфоксСканиране на конкретен URL адрес
Dalfox URL адрес http://testphp.vulnweb.com/listproducts.php.
Сканиране на набор от URL адрес
Dalfox може също да сканира няколко URL адреса едновременно.
CAT проби / Sample_target.txt | Далфокс тръба.
или
Dalfox файл ./samples/sample_target.txt.
Потребителят може да използва командата PARAMSPIDE, за да търси конкретен параметър и след това да постави няколко URL адреса в dalfox, за да получи по-точни резултати от сканиране.
Обобщавайки, си струва да се каже, че това е бърз инструмент за търсене на XSS и други популярни уязвимости в уеб системи. Инструментът дава малко фалшиви положителни резултати и има допълнителни функции за търсене на различни видове проблеми с безопасността.
Важно! Информация единствено за академични цели. Моля, спазвайте законодателството и не прилагайте тази информация за незаконни цели.
По-интересен материал на cisoclub.ru. Абонирайте се за нас: Facebook | VK | Twitter | Instagram | Телеграма | Zen | Messenger | ICQ нов |. \ T YouTube | Импулс.