В данной статье пойдет речь об автоматическом сканере уязвимостей XSS под названием Dalfox. Читатели узнают о возможностях программы для выявления недостатков в защите веб-систем.
Введение
Dalfox – это быстрый и мощный сканер уязвимостей XSS («межсайтовый скриптинг»), созданный на базе DOM-парсера. Помимо поиска проблем, связанных с XSS-атаками, он также имеет дополнительные функции для тестирования веб-системы на наличие SQLi , SSTI и Open Redirect . Сканер может обнаруживать различные типы XSS-уязвимостей: «reflected», «stored» и «blind».
Установка сканера Dalfox
Есть множество вариантов установки программы. Одним из самых популярных способов является инсталляция с помощью Homebrew.
Установка с помощью Snapcraft
Для этого метода установки требуется наличие Snapcraft . Читатели могут узнать, установлен ли Snap в их системе, введя специальную команду («snap»). Если программа не была установлена ранее, стоит перейти по ссылке ниже, чтобы произвести ее инсталляцию.
sudo snap install dalfox
Для осуществления установки Dalfox с помощью следующих двух методов, пользователю необходимо воспользоваться последней версией популярного языка программирования Go. Человек может проверить версию установленного языка с помощью команды «go version ». Если Go не был ранее установлен, то следует перейти по ссылке ниже, чтобы произвести его инсталляцию.
Установка Go из оригинального источника
GO111MODULE=on go get -v github.com/hahwul/dalfox/v2
Установка Go с GitHub
git clone https://github.com/hahwul/dalfox
cd dalfox
go build
Установка с помощью Docker
docker pull hahwul/dalfox:latest
Читателям следует ввести данную команду:
docker run -it hahwul/dalfox:latest /app/dalfox url https://www.hahwul.com
Приведенный ниже метод работает только на MacOS.
Установка с помощью Homebrew
brew tap hahwul/dalfox
brew install dalfox
Принципы работы Dalfox
Сканирование определенного URL
dalfox url http://testphp.vulnweb.com/listproducts.php
Сканирование множества URL
Dalfox также может сканировать несколько URL-адресов одновременно.
cat samples/sample_target.txt | dalfox pipe
или
dalfox file ./samples/sample_target.txt
Пользователь может использовать команду «paramspider » для поиска определенного параметра, а затем вставить несколько URL-адресов в Dalfox, чтобы получить более точные результаты сканирования.
Заключение
Подводя итог, стоит сказать, что это быстрый инструмент для поиска XSS и других популярных уязвимостей веб-систем. Инструмент выдает мало ложных срабатываний и обладает дополнительными функциями для поиска различного вида проблем безопасности.
Важно! Информация исключительно в учебных целях. Пожалуйста, соблюдайте законодательство и не применяйте данную информацию в незаконных целях.
ЧИТАТЬ ВСЕ СТАТЬИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
