![Dalfox | เครื่องสแกนช่องโหว่ XSS อัตโนมัติ 16237_1](/userfiles/21/16237_1.webp)
บทความนี้จะพูดคุยเกี่ยวกับสแกนเนอร์ช่องโหว่ XSS อัตโนมัติที่เรียกว่า Dalfox ผู้อ่านจะได้เรียนรู้เกี่ยวกับความเป็นไปได้ของโปรแกรมเพื่อระบุข้อบกพร่องในการปกป้องระบบเว็บ
บทนำDalfox เป็นเครื่องสแกนช่องโหว่ XSS ที่รวดเร็วและทรงพลัง ("สคริปต์ข้ามประเภท") ที่สร้างขึ้นบนพื้นฐานของตัวแยกวิเคราะห์ DOM นอกเหนือจากการค้นหาปัญหาที่เกี่ยวข้องกับการโจมตี XSS แล้วยังมีคุณสมบัติเพิ่มเติมสำหรับการทดสอบระบบเว็บสำหรับ SQLI, SSTI และการเปลี่ยนเส้นทางแบบเปิด สแกนเนอร์สามารถตรวจจับช่องโหว่ XSS ประเภทต่าง ๆ : "สะท้อนให้เห็น", "เก็บไว้" และ "ตาบอด"
การติดตั้งเครื่องสแกน Dalfoxมีตัวเลือกมากมายสำหรับการติดตั้งโปรแกรม หนึ่งในวิธีที่นิยมมากที่สุดคือการติดตั้งโดยใช้ Homebrew
การติดตั้งโดยใช้ Snapcraftวิธีการติดตั้งนี้ต้องใช้ Snapcraft ผู้อ่านสามารถค้นหาได้หากติดตั้ง Snap ในระบบของพวกเขาโดยป้อนคำสั่งพิเศษ ("Snap") หากไม่ได้กำหนดโปรแกรมก่อนหน้านี้จำเป็นต้องเปลี่ยนลิงค์ด้านล่างเพื่อให้ติดตั้ง
Sudo Snap ติดตั้ง Dalfox
ในการใช้การติดตั้ง Dalfox โดยใช้สองวิธีต่อไปนี้ผู้ใช้จะต้องใช้โดยภาษาโปรแกรมการเขียนโปรแกรมยอดนิยมรุ่นล่าสุด บุคคลสามารถตรวจสอบรุ่นของภาษาที่ติดตั้งโดยใช้คำสั่ง GO เวอร์ชัน หากไม่ได้ติดตั้งไปก่อนหน้านี้จากนั้นทำตามลิงค์ด้านล่างเพื่อให้ติดตั้ง
การติดตั้งไปจากแหล่งต้นฉบับGO111Module = ON GO GET -V GitHub.com/HAHWUL/DALFOX/V2
การติดตั้งไปกับ GitHubgit clone https://github.com/hahwul/dalfox cd dalfox go build
การติดตั้งกับ DockerDocker Pull Hahwul / Dalfox: ล่าสุด
ผู้อ่านควรป้อนคำสั่งนี้:
Docker Run -it Hahwul / Dalfox: ล่าสุด / แอป / Dalfox URL https://www.hahwul.com
วิธีการด้านล่างใช้งานได้บน MacOS เท่านั้น
การติดตั้งกับ homebrewBrew Tap Hahwul / Dalfox Brew ติดตั้ง Dalfox
หลักการทำงาน Dalfoxสแกน URL เฉพาะ
Dalfox URL http://testphp.vulnweb.com/listproducts.php
สแกนชุด URL
Dalfox สามารถสแกน URL หลายตัวพร้อมกันได้
ตัวอย่างแมว / sample_target.txt | ท่อ Dalfox
หรือ
ไฟล์ Dalfox ./samples/sample_target.txt
ผู้ใช้สามารถใช้คำสั่ง paramspider เพื่อค้นหาพารามิเตอร์เฉพาะจากนั้นแทรก URL หลายรายการใน Dalfox เพื่อให้ได้ผลลัพธ์การสแกนที่แม่นยำยิ่งขึ้น
![Dalfox | เครื่องสแกนช่องโหว่ XSS อัตโนมัติ 16237_2](/userfiles/21/16237_2.webp)
การสรุปมันคุ้มค่าที่จะบอกว่านี่เป็นเครื่องมือด่วนสำหรับการค้นหา XSS และช่องโหว่ของระบบเว็บยอดนิยมอื่น ๆ เครื่องมือนี้ให้ผลบวกที่ผิดพลาดเล็กน้อยและมีคุณสมบัติเพิ่มเติมในการค้นหาปัญหาด้านความปลอดภัยประเภทต่างๆ
สำคัญ! ข้อมูลเพียงเพื่อวัตถุประสงค์ทางวิชาการ โปรดปฏิบัติตามกฎหมายและไม่ใช้ข้อมูลนี้เพื่อวัตถุประสงค์ที่ผิดกฎหมาย
วัสดุที่น่าสนใจมากขึ้นบน cisoclub.ru สมัครสมาชิกกับเรา: Facebook | vk | ทวิตเตอร์ | Instagram โทรเลข เซน | Messenger | ICQ ใหม่ | YouTube | ชีพจร.