Este artigo falará sobre o scanner automático de vulnerabilidade XSS chamado Dalfox. Os leitores aprenderão sobre as possibilidades do programa para identificar deficiências na proteção dos sistemas da Web.
IntroduçãoO Dalfox é um scanner de vulnerabilidade XSS rápido e poderoso ("scripts do tipo cruzado") criado com base no analisador Dom. Além de encontrar problemas associados a ataques XSS, ele também tem recursos adicionais para testar um sistema web para SQLI, SSTI e redirecionamento aberto. O scanner pode detectar vários tipos de vulnerabilidades do XSS: "refletido", "armazenado" e "cego".
Instalando o scanner DalfoxExistem muitas opções para instalar o programa. Uma das maneiras mais populares é instalar o uso do Homebrew.
Instalação usando Snapcraft.Este método de instalação requer Snapcraft. Os leitores podem descobrir se o Snap é instalado em seu sistema, inserindo um comando especial ("Snap"). Se o programa não tiver sido estabelecido anteriormente, é necessário alternar o link abaixo para instalá-lo.
Sudo Snap Install Dalfox
Para implementar a instalação do Dalfox usando os dois métodos a seguir, o usuário precisa ser usado pela versão mais recente do popular idioma de programação Go. Uma pessoa pode verificar a versão do idioma instalado usando o comando Go versão. Se ir não foi instalado anteriormente, siga o link abaixo para facilitar a instalação.
Instalando vá da fonte originalGo111module = on get -v github.com/hahwul/dalfox/v2
Instalando vá com githubGit clone https://github.com/hahwul/dalfox cd dalfox ir construir
Instalação com Docker.Docker puxar hahwul / dalfox: Últimas
Os leitores devem entrar neste comando:
Docker Run -it Hahwul / Dalfox: Último / App / Dalfox URL HTTPS://www.hahwul.com
O método abaixo funciona apenas em macos.
Instalação com o Homebrew.Brew Tap Hahwul / Dalfox Brew Install Dalfox
Princípios do Trabalho DalfoxDigitalizando um URL específico
Dalfox URL http://testphp.vulnweb.com/listproducts.php.
Digitalizando um conjunto de URL
O Dalfox também pode digitalizar vários URLs simultaneamente.
Amostras de gato / sample_target.txt | Tubo Dalfox.
ou
Arquivo Dalfox ./Samples/sample_Target.txt.
O usuário pode usar o comando paramspider para pesquisar um parâmetro específico e inserir vários URLs no Dalfox para obter resultados de varredura mais precisos.
Resumindo, vale a pena dizer que esta é uma ferramenta rápida para procurar por XSS e outras vulnerabilidades populares de sistemas da Web. A ferramenta fornece pouco falsos positivos e tem recursos adicionais para procurar vários tipos de problemas de segurança.
Importante! Informações exclusivamente para fins acadêmicos. Por favor, cumpra a legislação e não aplique esta informação para fins ilegais.
Material mais interessante em cisoclub.ru. Inscreva-se: Facebook | Vk |.. Twitter | Instagram | Telegrama | Zen | Mensageiro | ICQ New | YouTube | Pulso.