Dalfox |. Máy quét lỗ hổng tự động XSS

Bài viết này sẽ nói về trình quét lỗ hổng XSS tự động được gọi là dalfox. Độc giả sẽ tìm hiểu về khả năng của chương trình để xác định thiếu sót trong việc bảo vệ hệ thống web.

Giới thiệu

DALFOX là một máy quét lỗ hổng XSS nhanh và mạnh mẽ ("kịch bản loại chéo") được tạo trên cơ sở trình phân tích cú pháp DOM. Ngoài việc tìm thấy các vấn đề liên quan đến các cuộc tấn công XSS, nó cũng có các tính năng bổ sung để kiểm tra một hệ thống web cho SQLI, SSTI và mở chuyển hướng. Máy quét có thể phát hiện các loại lỗ hổng XSS khác nhau: "phản xạ", "lưu trữ" và "mù".

Cài đặt máy quét DALFOX

Có nhiều tùy chọn để cài đặt chương trình. Một trong những cách phổ biến nhất là cài đặt bằng homebrew.

Cài đặt bằng Snapcraft.

Phương pháp cài đặt này yêu cầu Snapcraft. Độc giả có thể tìm hiểu nếu Snap được cài đặt trong hệ thống của họ bằng cách nhập một lệnh đặc biệt (Snap Snap Snap). Nếu chương trình chưa được thiết lập trước đó, cần phải chuyển đổi liên kết dưới đây để thực hiện cài đặt.

Sudo snap cài đặt dalfox

Để thực hiện cài đặt DALFOX bằng hai phương thức sau, người dùng cần được sử dụng bởi phiên bản mới nhất của ngôn ngữ lập trình GO phổ biến. Một người có thể kiểm tra phiên bản của ngôn ngữ đã cài đặt bằng lệnh phiên bản GO. Nếu GO không được cài đặt trước đó, thì hãy làm theo liên kết dưới đây để thực hiện cài đặt.

Lắp đặt từ nguồn gốc

GO111Module = khi GO Get -V GitHub.com/hahwul/dalfox/v2

Cài đặt Đi với GitHub

Git clone https://github.com/hahwul/dalfox cd dalfox đi xây dựng

Cài đặt với Docker.

Docker kéo hahwul / dalfox: Mới nhất

Độc giả nên nhập lệnh này:

Docker Run -it hahwul / dalfox: URL mới nhất / ứng dụng / dalfox https://www.hahwul.com

Phương pháp dưới đây chỉ hoạt động trên MacOS.

Lắp đặt với homebrew.

BREW TAP HAHWUL / DALFOX BREW CÀI ĐẶT DALFOX

Nguyên tắc làm việc dalfox

Quét một URL cụ thể

Dalfox url http://testphp.vulnweb.com/listproducts.php.

Quét một tập hợp URL

DALFOX cũng có thể quét nhiều URL cùng một lúc.

Mẫu mèo / mẫu_target.txt | Ống dalfox.

hoặc là

Tập tin dalfox ./samples/sample_target.txt.

Người dùng có thể sử dụng lệnh ParamSpider để tìm kiếm một tham số cụ thể, sau đó chèn nhiều URL trong dalfox để có kết quả quét chính xác hơn.

Phần kết luận

Tóm tắt, đáng nói rằng đây là một công cụ nhanh chóng để tìm kiếm XSS và các lỗ hổng hệ thống web phổ biến khác. Công cụ cung cấp ít dương tính giả và có các tính năng bổ sung để tìm kiếm các loại vấn đề an toàn khác nhau.

Quan trọng! Thông tin duy nhất cho mục đích học tập. Vui lòng tuân thủ luật pháp và không áp dụng thông tin này cho các mục đích bất hợp pháp.

Tài liệu thú vị hơn trên Cisoclub.ru. Theo dõi chúng tôi: Facebook | Vk |. Twitter |. Instagram |. Telegram |. Zen |. Messenger |. ICQ mới |. YouTube |. Xung.