Dalfox | เครื่องสแกนช่องโหว่ XSS อัตโนมัติ

บทความนี้จะพูดคุยเกี่ยวกับสแกนเนอร์ช่องโหว่ XSS อัตโนมัติที่เรียกว่า Dalfox ผู้อ่านจะได้เรียนรู้เกี่ยวกับความเป็นไปได้ของโปรแกรมเพื่อระบุข้อบกพร่องในการปกป้องระบบเว็บ

บทนำ

Dalfox เป็นเครื่องสแกนช่องโหว่ XSS ที่รวดเร็วและทรงพลัง ("สคริปต์ข้ามประเภท") ที่สร้างขึ้นบนพื้นฐานของตัวแยกวิเคราะห์ DOM นอกเหนือจากการค้นหาปัญหาที่เกี่ยวข้องกับการโจมตี XSS แล้วยังมีคุณสมบัติเพิ่มเติมสำหรับการทดสอบระบบเว็บสำหรับ SQLI, SSTI และการเปลี่ยนเส้นทางแบบเปิด สแกนเนอร์สามารถตรวจจับช่องโหว่ XSS ประเภทต่าง ๆ : "สะท้อนให้เห็น", "เก็บไว้" และ "ตาบอด"

การติดตั้งเครื่องสแกน Dalfox

มีตัวเลือกมากมายสำหรับการติดตั้งโปรแกรม หนึ่งในวิธีที่นิยมมากที่สุดคือการติดตั้งโดยใช้ Homebrew

การติดตั้งโดยใช้ Snapcraft

วิธีการติดตั้งนี้ต้องใช้ Snapcraft ผู้อ่านสามารถค้นหาได้หากติดตั้ง Snap ในระบบของพวกเขาโดยป้อนคำสั่งพิเศษ ("Snap") หากไม่ได้กำหนดโปรแกรมก่อนหน้านี้จำเป็นต้องเปลี่ยนลิงค์ด้านล่างเพื่อให้ติดตั้ง

Sudo Snap ติดตั้ง Dalfox

ในการใช้การติดตั้ง Dalfox โดยใช้สองวิธีต่อไปนี้ผู้ใช้จะต้องใช้โดยภาษาโปรแกรมการเขียนโปรแกรมยอดนิยมรุ่นล่าสุด บุคคลสามารถตรวจสอบรุ่นของภาษาที่ติดตั้งโดยใช้คำสั่ง GO เวอร์ชัน หากไม่ได้ติดตั้งไปก่อนหน้านี้จากนั้นทำตามลิงค์ด้านล่างเพื่อให้ติดตั้ง

การติดตั้งไปจากแหล่งต้นฉบับ

GO111Module = ON GO GET -V GitHub.com/HAHWUL/DALFOX/V2

การติดตั้งไปกับ GitHub

git clone https://github.com/hahwul/dalfox cd dalfox go build

การติดตั้งกับ Docker

Docker Pull Hahwul / Dalfox: ล่าสุด

ผู้อ่านควรป้อนคำสั่งนี้:

Docker Run -it Hahwul / Dalfox: ล่าสุด / แอป / Dalfox URL https://www.hahwul.com

วิธีการด้านล่างใช้งานได้บน MacOS เท่านั้น

การติดตั้งกับ homebrew

Brew Tap Hahwul / Dalfox Brew ติดตั้ง Dalfox

หลักการทำงาน Dalfox

สแกน URL เฉพาะ

Dalfox URL http://testphp.vulnweb.com/listproducts.php

สแกนชุด URL

Dalfox สามารถสแกน URL หลายตัวพร้อมกันได้

ตัวอย่างแมว / sample_target.txt | ท่อ Dalfox

หรือ

ไฟล์ Dalfox ./samples/sample_target.txt

ผู้ใช้สามารถใช้คำสั่ง paramspider เพื่อค้นหาพารามิเตอร์เฉพาะจากนั้นแทรก URL หลายรายการใน Dalfox เพื่อให้ได้ผลลัพธ์การสแกนที่แม่นยำยิ่งขึ้น

บทสรุป

การสรุปมันคุ้มค่าที่จะบอกว่านี่เป็นเครื่องมือด่วนสำหรับการค้นหา XSS และช่องโหว่ของระบบเว็บยอดนิยมอื่น ๆ เครื่องมือนี้ให้ผลบวกที่ผิดพลาดเล็กน้อยและมีคุณสมบัติเพิ่มเติมในการค้นหาปัญหาด้านความปลอดภัยประเภทต่างๆ

สำคัญ! ข้อมูลเพียงเพื่อวัตถุประสงค์ทางวิชาการ โปรดปฏิบัติตามกฎหมายและไม่ใช้ข้อมูลนี้เพื่อวัตถุประสงค์ที่ผิดกฎหมาย

วัสดุที่น่าสนใจมากขึ้นบน cisoclub.ru สมัครสมาชิกกับเรา: Facebook | vk | ทวิตเตอร์ | Instagram โทรเลข เซน | Messenger | ICQ ใหม่ | YouTube | ชีพจร.