Makala hii itasema juu ya scanner ya udhaifu wa XSS moja kwa moja inayoitwa Dalfox. Wasomaji watajifunza juu ya uwezekano wa mpango wa kutambua upungufu katika ulinzi wa mifumo ya wavuti.
UtanguliziDalfox ni scanner ya haraka na yenye nguvu ya XSS ("scripting ya aina ya msalaba") imeundwa kwa misingi ya dom parser. Mbali na kupata matatizo yanayohusiana na mashambulizi ya XSS, pia ina vipengele vya ziada vya kupima mfumo wa wavuti wa SQLI, SSTI na kufungua wazi. Scanner inaweza kuchunguza aina mbalimbali za udhaifu wa XSS: "ilionekana", "iliyohifadhiwa" na "kipofu".
Kuweka Scanner ya DalFox.Kuna chaguzi nyingi za kufunga programu. Moja ya njia maarufu zaidi ni kufunga kwa kutumia homebrew.
Ufungaji kwa kutumia SnapCraft.Njia hii ya ufungaji inahitaji snapcraft. Wasomaji wanaweza kujua kama Snap imewekwa kwenye mfumo wao kwa kuingia amri maalum ("Snap"). Ikiwa mpango haujaanzishwa hapo awali, ni muhimu kubadili kiungo chini ili kuifanya.
Sudo snap kufunga dalfox.
Ili kutekeleza ufungaji wa Dalfox kwa kutumia mbinu mbili zifuatazo, mtumiaji anahitaji kutumiwa na toleo la hivi karibuni la lugha maarufu ya programu ya kwenda. Mtu anaweza kuangalia toleo la lugha iliyowekwa kwa kutumia amri ya toleo la GO. Ikiwa kwenda haikuwekwa hapo awali, kisha fuata kiungo chini ili kuifanya.
Kufunga kwenda kutoka chanzo cha awaliGo111Module = juu ya kwenda kupata-github.com/hahwul/dalfox/v2.
Kuweka kwenda na Github.Git clone https://github.com/hahwul/dalfox cd dalfox kwenda kujenga.
Ufungaji na Docker.Docker Pull Hahwul / Dalfox: Latest.
Wasomaji wanapaswa kuingia amri hii:
Docker Run -IT Hahwul / Dalfox: Latest / App / Dalfox URL https://www.hahwul.com
Njia hapa chini inafanya kazi tu kwenye MacOS.
Ufungaji na Homebrew.Brew Tap Hahwul / Dalfox Brew Kufunga Dalfox.
Kanuni za kazi Dalfox.Skanning url maalum.
Dalfox URL http://testphp.vulnweb.com/listproducts.php.
Skanning seti ya url.
Dalfox pia inaweza kusanisha URL nyingi wakati huo huo.
Sampuli za paka / sampuli_target.txt | Bomba la Dalfox.
au
Faili ya dalfox ./samples/sample_target.txt.
Mtumiaji anaweza kutumia amri ya paramspider kutafuta parameter maalum, na kisha kuingiza URL nyingi huko Dalfox ili kupata matokeo sahihi ya scan.
Kuzingatia, ni muhimu kusema kwamba hii ni chombo cha haraka cha kutafuta XSS na nyingine maarufu ya mifumo ya mifumo ya mtandao. Chombo hutoa chanya kidogo cha uongo na ina sifa za ziada za kutafuta aina mbalimbali za matatizo ya usalama.
Muhimu! Habari tu kwa madhumuni ya kitaaluma. Tafadhali kuzingatia sheria na usitumie habari hii kwa madhumuni haramu.
Vifaa vya kuvutia zaidi kwenye cisoclub.ru. Kujiunga na sisi: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Mtume | ICQ Mpya | YouTube | Pulse.