この記事では、DALFOXと呼ばれる自動XSSの脆弱性スキャナについて説明します。読者は、Webシステムの保護における欠陥を特定するためのプログラムの可能性について学びます。
前書きDalfoxは、DOMパーサーに基づいて作成された高速で強力なXSSの脆弱性スキャナー(「クロスタイプのスクリプト」)です。 XSS攻撃に関連した問題を見つけることに加えて、SQLI、SSTI、およびオープンリダイレクト用のWebシステムをテストするための追加機能もあります。スキャナは、「反射」、「格納」、「ブラインド」のさまざまな種類のXSSの脆弱性を検出できます。
Dalfox Scannerのインストールプログラムをインストールするためのオプションがたくさんあります。最も一般的な方法の1つは、Homebrewを使用してインストールすることです。
スナップクラフトを使用したインストールこのインストール方法にはスナップクラフトが必要です。読者は、特別なコマンド(「スナップ」)を入力して、スナップがシステムにインストールされているかどうかを調べることができます。プログラムが早く確立されていない場合は、下記のリンクを切り替えてインストールする必要があります。
sudo snap dalfoxをインストールします
次の2つの方法を使用してDALFOXのインストールを実装するには、ユーザーは最新バージョンの人気GOプログラミング言語で使用する必要があります。 GOバージョンコマンドを使用して、インストールされている言語のバージョンを確認できます。 GOが以前にインストールされていない場合は、下のリンクに従ってインストールしてください。
元の情報源からの移動先をインストールしますGO111Module = on go get -v github.com/hahwul/dalfox/v2
githubを使ったインストールgit clone https://github.com/hahwul/dalfox cd dalfox go build.
DockerによるインストールDocker Pull Hahwul / Dalfox:最新の
読者はこのコマンドを入力する必要があります。
Docker Run -it Hahwul / Dalfox:最新/ app / dalfox URL https://www.hahwul.com
以下の方法はMacOS上でのみ機能します。
HomeBrewのインストールBrew Tap Hahwul / Dalfox Brew Dalfoxをインストールします
仕事の原則Dalfox.特定のURLをスキャンします
Dalfox URL http://testphp.vulnweb.com/listproducts.php。
URLのセットをスキャンします
Dalfoxは複数のURLを同時にスキャンすることもできます。
猫のサンプル/ sample_target.txt |ダルフォックスパイプ。
または
Dalfoxファイル./samples/sample_target.txt.
ユーザーはParamSpiderコマンドを使用して特定のパラメータを検索し、次にDALFOXに複数のURLを挿入して、より正確なスキャン結果を得ることができます。
合計して、これはXSSやその他の一般的なWebシステムの脆弱性を検索するための迅速なツールであると言う価値があります。このツールは誤検知をほとんど与えず、さまざまな種類の安全上の問題を検索するための追加の機能を持っています。
重要!学術目的のためだけに情報。法律に準拠しており、この情報を違法目的で適用しないでください。
CISOCLUB.RUのより興味深い材料。私たちを購読する:Facebook | VK | Twitter | Instagramの|テレグラム|禅|メッセンジャー| ICQ NEW | YouTube |パルス。