Dalfox | Автоматический сканер уязвимостей XSS

Дата: 12.03.2021. Автор: Игорь Б. Категории: Статьи по информационной безопасности
Dalfox | Автоматический сканер уязвимостей XSS

В данной статье пойдет речь об автоматическом сканере уязвимостей XSS под названием Dalfox. Читатели узнают о возможностях программы для выявления недостатков в защите веб-систем.

Введение

Dalfox – это быстрый и мощный сканер уязвимостей XSS («межсайтовый скриптинг»), созданный на базе DOM-парсера. Помимо поиска проблем, связанных с XSS-атаками, он также имеет дополнительные функции для тестирования веб-системы на наличие SQLi, SSTI и Open Redirect. Сканер может обнаруживать различные типы XSS-уязвимостей: «reflected», «stored» и «blind».

Установка сканера Dalfox

Есть множество вариантов установки программы. Одним из самых популярных способов является инсталляция с помощью Homebrew.

Установка с помощью Snapcraft

Для этого метода установки требуется наличие Snapcraft. Читатели могут узнать, установлен ли Snap в их системе, введя специальную команду («snap»). Если программа не была установлена ранее, стоит перейти по ссылке ниже, чтобы произвести ее инсталляцию.

sudo snap install dalfox

Для осуществления установки Dalfox с помощью следующих двух методов, пользователю необходимо воспользоваться последней версией популярного языка программирования Go. Человек может проверить версию установленного языка с помощью команды «go version». Если Go не был ранее установлен, то следует перейти по ссылке ниже, чтобы произвести его инсталляцию.

Установка Go из оригинального источника

GO111MODULE=on go get -v github.com/hahwul/dalfox/v2

Установка Go с GitHub

git clone https://github.com/hahwul/dalfox
cd dalfox
go build

Установка с помощью Docker

docker pull hahwul/dalfox:latest

Читателям следует ввести данную команду:

docker run -it hahwul/dalfox:latest /app/dalfox url https://www.hahwul.com

Приведенный ниже метод работает только на MacOS.

Установка с помощью Homebrew

brew tap hahwul/dalfox
brew install dalfox

Принципы работы Dalfox

Сканирование определенного URL

dalfox url http://testphp.vulnweb.com/listproducts.php

Сканирование множества URL

Dalfox также может сканировать несколько URL-адресов одновременно.

cat samples/sample_target.txt | dalfox pipe 

или

dalfox file ./samples/sample_target.txt

Пользователь может использовать команду «paramspider» для поиска определенного параметра, а затем вставить несколько URL-адресов в Dalfox, чтобы получить более точные результаты сканирования.

Dalfox | Автоматический сканер уязвимостей XSS

Заключение

Подводя итог, стоит сказать, что это быстрый инструмент для поиска XSS и других популярных уязвимостей веб-систем. Инструмент выдает мало ложных срабатываний и обладает дополнительными функциями для поиска различного вида проблем безопасности.

Важно! Информация исключительно в учебных целях. Пожалуйста, соблюдайте законодательство и не применяйте данную информацию в незаконных целях.

Игорь Б

Об авторе Игорь Б

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *