Dalfox – Analisi dei parametri & Tutorial del rivelatore XSS

5.8K

Dalfox è uno straordinario strumento di analisi dei parametri e di scansione XSS.

Dalfox significa in genere,

Dal = luna (Pronuncia coreana ) ; Fox = Trova di XSS.

Caratteristiche di Dalfox:

• Analisi dei parametri (trova parametro riflesso, trova personaggi liberi / cattivi, Identificazione del punto di iniezione)
• Analisi statica (Seleziona Bad-header come CSP, X-Frame-opzioni, eccetera.. con base richiesta / risposta base)
• Query di ottimizzazione dei payload
  • Controllare il punto di iniezione attraverso l'astrazione e generato il carico utile adatto.
  • Elimina i payload non necessari in base a caratteri non validi
• Scansione XSS(riflessa + Immagazzinato) e DOM Base di verifica
• Tutti i payload di prova(build-in, la tua abitudine / cieco) sono testati in parallelo con l'encoder.
  • Supporto per Double URL Encoder
  • Supporto per HTML Hex Encoder
• Pipeline amichevole (singolo URL, da un file, da IO)
• E le varie opzioni richieste per il test 😀
  • grepping integrato / personalizzato per trovare altre vulnerabilità
  • se hai trovato, dopo l'azione
  • eccetera..

---

Scelta dell'editore:

• Macof - Lo strumento di inondazione definitivo | lezione[2020]
• NWAnime - Le migliori alternative a NWAnime [2020]
• CCMAKER - Scarica Ultimate Adobe Piracy Kit[2020]
• LOSMOVIES - Il miglior sito di streaming di film in diretta

---

Come installare Dalfox?

Esistono tre modi per installare Dalfox.

Puoi usarne qualcuno.

1. Go-Install

1. Per prima cosa basta clonare questo repository.

$ git clone https://github.com/hahwul/dalfox

2. Installa nel percorso Dalfox clonato

$ go install

3. Usando dalfox

$ ~/go/bin/dalfox

2. Vai a prendere

1. vai a cercare dalfox!

$ go get -u github.com/hahwul/dalfox

2. Usando dalfox

$ ~/go/bin/dalfox

3. Versione di rilascio

1. Apri la pagina dell'ultima versione https://github.com/hahwul/dalfox/releases/latest
2. Scarica file Scarica ed estrai il file adatto al tuo sistema operativo.
3. Puoi metterlo nella directory di esecuzione e usarlo. per esempio

$ cp dalfox /usr/bin/

Utilizzo di Dalfox:

    _..._
  .' .::::.   __   _   _    ___ _ __ __
 :  :::::::: |  \ / \ | |  | __/ \\ V /
 :  :::::::: | o ) o || |_ | _( o )) (
 '. '::::::' |__/|_n_||___||_| \_//_n_\
   '-.::''
Parameter Analysis and XSS Scanning tool based on golang
Finder Of XSS and Dal is the Korean pronunciation of moon. @hahwul


Usage:
  dalfox [command]

Available Commands:
  file        Use file mode(targets list or rawdata)
  help        Help about any command
  pipe        Use pipeline mode
  sxss        Use Stored XSS mode
  update      Update DalFox (Binary patch)
  url         Use single target mode
  version     Show version

Flags:
  -b, --blind string            Add your blind xss (e.g -b hahwul.xss.ht)
      --config string           Using config from file
  -C, --cookie string           Add custom cookie
      --custom-payload string   Add custom payloads from file
  -d, --data string             Using POST Method and add Body data
      --delay int               Milliseconds between send to same host (1000==1s)
      --found-action string     If found weak/vuln, action(cmd) to next
      --grep string             Using custom grepping file (e.g --grep ./samples/sample_grep.json)
  -H, --header string           Add custom headers
  -h, --help                    help for dalfox
      --ignore-return string    Ignore scanning from return code (e.g --ignore-return 302,403,404)
      --only-discovery          Only testing parameter analysis
  -o, --output string           Write to output file
      --output-format string    -o/--output 's format (txt/json/xml)
  -p, --param string            Only testing selected parameters
      --proxy string            Send all request to proxy server (e.g --proxy http://127.0.0.1:8080)
      --silence                 Not printing all logs
      --timeout int             Second of timeout (default 10)
      --user-agent string       Add custom UserAgent
  -w, --worker int              Number of worker (default 40)

$ dalfox [mode] [flags]

Modalità bersaglio singolo

$ dalfox url http://testphp.vulnweb.com/listproducts.php\?cat\=123\&artist\=123\&asdf\=ff -b https://hahwul.xss.ht

Modalità di destinazione multipla da file

$ dalfox file urls_file --custom-payload ./mypayloads.txt

Modalità pipeline

$ cat urls_file | dalfox pipe -H "AuthToken: bbadsfkasdfadsf87"

Scarica Dalfox:

Conclusione:

Dalfox è uno strumento fantastico che puoi usare.

Se hai trovato valore in questo articolo. Assicurati di commentare in basso e aumentare l'entusiasmo del nostro team.

Puoi anche dare suggerimenti o domande su questo strumento.

Il nostro team cercherà di risponderti al più presto.