Denne artikel vil tale om den automatiske XSS sårbarhedsscanner kaldet Dalfox. Læsere vil lære om mulighederne for programmet til at identificere mangler i beskyttelsen af websystemer.
IntroduktionDalfox er en hurtig og kraftig XSS sårbarhedsscanner ("Cross-type scripting"), der er oprettet på basis af DOM-parseren. Ud over at finde problemer i forbindelse med XSS-angreb har det også yderligere funktioner til testning af et websystem til SQLI, SSTI og Open Redirect. Scanneren kan registrere forskellige typer af XSS sårbarheder: "Reflekteret", "lagret" og "blind".
Installation af DALFOX-scannerenDer er mange muligheder for at installere programmet. En af de mest populære måder er at installere ved hjælp af homebrew.
Installation ved hjælp af SnapCraft.Denne installationsmetode kræver snapcraft. Læsere kan finde ud af, om SNAP er installeret i deres system ved at indtaste en speciel kommando ("SNAP"). Hvis programmet ikke er blevet fastslået tidligere, er det nødvendigt at skifte linket herunder for at gøre det installeret.
Sudo snap installerer dalfox
For at implementere DALFOX-installation ved hjælp af følgende to metoder skal brugeren bruges af den nyeste version af det populære Go-programmeringssprog. En person kan kontrollere versionen af det installerede sprog ved hjælp af kommandoen Go-version. Hvis GO ikke tidligere blev installeret, skal du følge nedenstående link for at gøre det installeret.
Installation Gå fra den oprindelige kildeGo111Module = på go get -v github.com/hahwul/dalfox/v2
Installation af gå med GitHubGit klon https://github.com/hahwul/dalfox cd dalfox gå bygge
Installation med Docker.Docker Træk Hahwul / Dalfox: Seneste
Læsere skal indtaste denne kommando:
Docker Run -It Hahwul / Dalfox: Seneste / App / Dalfox URL https://www.hahwul.com
Metoden nedenfor fungerer kun på MacOS.
Installation med homebrew.BREW TAP HAHWUL / DALFOX BREW INSTALL DALFOX
Principper for arbejde DALFOXScanning af en bestemt URL
DALFOX URL http://testphp.vulnweb.com/listproducts.php.
Scanning af et sæt URL
Dalfox kan også scanne flere webadresser samtidigt.
Katteprøver / sample_target.txt | Dalfox-rør.
eller
Dalfox-fil ./samples/sample_target.txt.
Brugeren kan bruge kommandoen Paramspider til at søge efter en bestemt parameter, og derefter indsætte flere webadresser i DALFOX for at opnå mere præcise scanningsresultater.
Sammenfatning, det er værd at sige, at dette er et hurtigt værktøj til at søge efter XSS og andre populære websystemer sårbarheder. Værktøjet giver små falske positiver og har yderligere funktioner til at søge efter forskellige typer sikkerhedsproblemer.
Vigtig! Oplysninger udelukkende til akademiske formål. Venligst overholde lovgivningen og ikke anvende disse oplysninger til ulovlige formål.
Mere interessant materiale på cisoclub.ru. Abonner på os: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NYE | YouTube | Puls.