Dalfox | XSS אוטומטי פגיעות סורק

מאמר זה ידבר על סורק הפגיעות של XSS אוטומטי בשם Dalfox. הקוראים ילמדו על האפשרויות של התוכנית כדי לזהות ליקויים בהגנה על מערכות אינטרנט.

מבוא

DALFOX הוא סורק פגיעות מהירה וחזקה XSS ("Scripting מסוג Cross") שנוצר על בסיס ה- DOM Parser. בנוסף למציאת בעיות הקשורות להתקפות XSS, יש לו גם תכונות נוספות לבדיקת מערכת אינטרנט עבור SQLI, SSTI ופתוח הפניה. הסורק יכול לזהות סוגים שונים של פגיעויות XSS: "משתקף", "מאוחסן" ו "עיוור".

התקנת סורק Dalfox

ישנן אפשרויות רבות להתקנת התוכנית. אחת הדרכים הפופולריות ביותר היא להתקין באמצעות homebrew.

התקנה באמצעות Snapcraft

שיטת התקנה זו דורשת Snapcraft. הקוראים יכולים לברר אם הצמד מותקן במערכת שלהם על ידי הזנת פקודה מיוחדת ("הצמד"). אם התוכנית לא הוקמה קודם לכן, יש צורך להחליף את הקישור למטה כדי להתקין אותו.

Sudo snap להתקין dalfox

כדי ליישם את ההתקנה DalFox באמצעות שתי השיטות הבאות, המשתמש צריך לשמש את הגירסה העדכנית ביותר של שפת התכנות הפופולריים. אדם יכול לבדוק את הגירסה של השפה המותקנת באמצעות הפקודה 'גרסת GO'. אם הגעו לא הותקן בעבר, ולאחר מכן בצע את הקישור הבא כדי לו להתקין אותו.

התקנה עבור המקור המקורי

Go111Module = ב- Go Get -v Github.com/hahwul/dalfox/v2

התקנה ללכת עם github

Git clone https://github.com/hahwul/dalfox cd dalfox ללכת לבנות

התקנה עם מסונתן

Docker משוך hahwul / dalfox: האחרונה

הקוראים צריכים להזין פקודה זו:

Docker לרוץ- hahwul / dalfox: אחרון / App / Dalfox URL https://www.hahwul.com

השיטה שלהלן פועלת רק במקוס.

התקנה עם homebrew.

Brew הקש Hahwul / Dalfox לחלוט התקנת Dalfox

עקרונות עבודה dalfox

סריקת כתובת אתר ספציפית

DALFOX URL http://testphp.vulnweb.com/listproducts.php.

סריקת סדרה של כתובת אתר

Dalfox יכול גם לסרוק כתובות אתרים מרובות בו זמנית.

חתול דוגמאות / somple_target.txt צינור dalfox.

אוֹ

קובץ dalfox ./samples/sample_target.txt.

המשתמש יכול להשתמש בפקודה ParamSpider כדי לחפש פרמטר מסוים ולאחר מכן הכנס כתובות אתרים מרובות ב- Dalfox כדי לקבל תוצאות סריקה מדויקות יותר.

סיכום

סיכום, כדאי להגיד כי זהו כלי מהיר לחיפוש XSS ו פגיעויות אינטרנט פופולריות אחרות. הכלי נותן קטנות חיוביות שווא ויש לו תכונות נוספות כדי לחפש סוגים שונים של בעיות בטיחות.

חָשׁוּב! מידע אך ורק למטרות אקדמיות. נא לציית לחקיקה ולא להחיל מידע זה למטרות בלתי חוקיות.

חומר מעניין יותר על cisoclub.ru. הירשם אלינו: פייסבוק | VK | טוויטר Instagram | מברק זן שליח ICQ חדש YouTube | דוֹפֶק.