domov » Orodja za Linux » Dalfox – Analiza parametrov & Vadnica detektorja XSS
Orodja za Linux

Dalfox – Analiza parametrov & Vadnica detektorja XSS

avtor Suyash
napisal Suyash
dalfox

Dalfox je neverjetno orodje za analizo parametrov in skeniranje XSS.

Dalfox običajno pomeni,

Dal = luna (korejska izgovorjava ) ; Fox = najdba XSS.

Lastnosti Dalfox:

  • Analiza parametrov (poiščite odraženi parameter, poiščite proste/slabe like, Identifikacija mesta injiciranja)
  • Statična analiza (Preverite Bad-header kot CSP, Možnosti X-Frame, itd.. z osnovno bazo zahtev/odgovorov)
  • Poizvedba za optimizacijo koristnih obremenitev
    • Preverite točko vbrizgavanja skozi abstrakcijo in ustvarjeno ustrezno koristno obremenitev.
    • Odstranite nepotrebne obremenitve, ki temeljijo na slabem znaku
  • XSS skeniranje(Odbito + Shranjeno) in preverjanje baze DOM
  • Vse testne obremenitve(vgradni, po vaši meri/slepo) se testirajo vzporedno z dajalnikom.
    • Podpora za dvojni URL kodirnik
    • Podpora za kodirnik HTML Hex
  • Prijazen cevovod (en URL, iz datoteke, od IO)
  • In različne možnosti, potrebne za testiranje 😀
    • vgrajen/prilagojen grepping za iskanje druge ranljivosti
    • če ste našli, po akciji
    • itd..

Izbira urednika:

Kako namestiti Dalfox?

Dalfox lahko namestite na tri načine.

Uporabite lahko katerega koli od njih.

1. Go-Install

  1. Najprej preprosto klonirajte to skladišče.
$ git clone https://github.com/hahwul/dalfox
  1. Namestite v klonirano Dalfoxovo pot
$ go install
  1. Uporaba dalfoxa
$ ~/go/bin/dalfox

2. Go-Get

  1. pojdi po dalfoxa!
$ go get -u github.com/hahwul/dalfox
  1. Uporaba dalfoxa
$ ~/go/bin/dalfox

3. Izdaja različice

  1. Odpri stran z zadnjo izdajo https://github.com/hahwul/dalfox/releases/latest
  2. Prenesite datoteko Prenesite in ekstrahirajte datoteko, ki ustreza vašemu OS.
  3. Lahko ga postavite v izvršilni imenik in ga uporabite. npr
$ cp dalfox /usr/bin/

Uporaba Dalfoxa:

    _..._
  .' .::::.   __   _   _    ___ _ __ __
 :  :::::::: |  \ / \ | |  | __/ \\ V /
 :  :::::::: | o ) o || |_ | _( o )) (
 '. '::::::' |__/|_n_||___||_| \_//_n_\
   '-.::''
Parameter Analysis and XSS Scanning tool based on golang
Finder Of XSS and Dal is the Korean pronunciation of moon. @hahwul


Usage:
  dalfox [command]

Available Commands:
  file        Use file mode(targets list or rawdata)
  help        Help about any command
  pipe        Use pipeline mode
  sxss        Use Stored XSS mode
  update      Update DalFox (Binary patch)
  url         Use single target mode
  version     Show version

Flags:
  -b, --blind string            Add your blind xss (e.g -b hahwul.xss.ht)
      --config string           Using config from file
  -C, --cookie string           Add custom cookie
      --custom-payload string   Add custom payloads from file
  -d, --data string             Using POST Method and add Body data
      --delay int               Milliseconds between send to same host (1000==1s)
      --found-action string     If found weak/vuln, action(cmd) to next
      --grep string             Using custom grepping file (e.g --grep ./samples/sample_grep.json)
  -H, --header string           Add custom headers
  -h, --help                    help for dalfox
      --ignore-return string    Ignore scanning from return code (e.g --ignore-return 302,403,404)
      --only-discovery          Only testing parameter analysis
  -o, --output string           Write to output file
      --output-format string    -o/--output 's format (txt/json/xml)
  -p, --param string            Only testing selected parameters
      --proxy string            Send all request to proxy server (e.g --proxy http://127.0.0.1:8080)
      --silence                 Not printing all logs
      --timeout int             Second of timeout (default 10)
      --user-agent string       Add custom UserAgent
  -w, --worker int              Number of worker (default 40)

$ dalfox [mode] [flags]

Način ene tarče

$ dalfox url http://testphp.vulnweb.com/listproducts.php\?cat\=123\&artist\=123\&asdf\=ff -b https://hahwul.xss.ht

Več ciljni način iz datoteke

$ dalfox file urls_file --custom-payload ./mypayloads.txt

Cevovodni način

$ cat urls_file | dalfox pipe -H "AuthToken: bbadsfkasdfadsf87"

Prenesite Dalfox:

dalfox

Zaključek:

Dalfox je neverjetno orodje, ki ga lahko uporabite.

Če ste v tem članku našli vrednost. Ne pozabite komentirati spodaj in povečati navdušenja naše ekipe.

Prav tako lahko podate kakršne koli predloge ali vprašanja v zvezi s tem orodjem.

Naša ekipa vam bo poskušala odgovoriti v najkrajšem možnem času.

To je Suyash iz Indije. Navdušen nad kibernetsko varnostjo, Youtuber, Blogger, Samostojni sodelavec in pentester. Običajno piše članke, da svoje znanje deli s svetom.

Pustite komentar

Shrani moje ime, E-naslov, in spletno mesto v tem brskalniku za naslednjič, ko bom komentiral.