Dalfox – Analyse des paramètres & Tutoriel du détecteur XSS

5.5K

Dalfox est un étonnant outil d'analyse de paramètres et d'analyse XSS.

Dalfox signifie généralement,

Dal = lune (Prononciation coréenne ) ; Fox = Trouver de XSS.

Caractéristiques de Dalfox:

• Analyse des paramètres (trouver le paramètre réfléchi, trouver des personnages libres / mauvais, Identification du point d'injection)
• Analyse statique (Vérifier les en-têtes incorrects comme CSP, Options de X-Frame, etc.. avec base de demande / réponse)
• Requête d'optimisation des charges utiles
  • Vérifier le point d'injection par abstraction et générer la charge utile adaptée.
  • Élimine les charges utiles inutiles basées sur un mauvais caractère
• Numérisation XSS(Réfléchi + Stocké) et DOM Base Verifying
• Toutes les charges utiles de test(construire dans, votre personnalisé / aveugle) sont testés en parallèle avec l'encodeur.
  • Prise en charge de Double URL Encoder
  • Prise en charge de HTML Hex Encoder
• Pipeline convivial (URL unique, à partir d'un fichier, de IO)
• Et les différentes options requises pour le test 😀
  • grepping intégré / personnalisé pour trouver une autre vulnérabilité
  • si vous avez trouvé, après action
  • etc..

---

Le choix des éditeurs:

• Macof - Ultimate Flooding Tool | Didacticiel[2020]
• NWAnime - Meilleures alternatives de NWAnime [2020]
• CCMAKER - Télécharger Ultimate Adobe Piracy Kit[2020]
• LOSMOVIES - Le meilleur site de streaming de films vivant

---

Comment installer Dalfox?

Il existe au total trois façons d'installer Dalfox.

Vous pouvez utiliser n'importe lequel d'entre eux.

1. Go-Install

1. Tout d'abord, clonez ce référentiel.

$ git clone https://github.com/hahwul/dalfox

2. Installer dans le chemin Dalfox cloné

$ go install

3. Utiliser dalfox

$ ~/go/bin/dalfox

2. Va chercher

1. aller chercher dalfox!

$ go get -u github.com/hahwul/dalfox

2. Utiliser dalfox

$ ~/go/bin/dalfox

3. Version finale

1. Ouvrir la dernière page de version https://github.com/hahwul/dalfox/releases/latest
2. Télécharger le fichier Téléchargez et extrayez le fichier qui correspond à votre système d'exploitation.
3. Vous pouvez le mettre dans le répertoire d'exécution et l'utiliser. par exemple

$ cp dalfox /usr/bin/

Utilisation de Dalfox:

    _..._
  .' .::::.   __   _   _    ___ _ __ __
 :  :::::::: |  \ / \ | |  | __/ \\ V /
 :  :::::::: | o ) o || |_ | _( o )) (
 '. '::::::' |__/|_n_||___||_| \_//_n_\
   '-.::''
Parameter Analysis and XSS Scanning tool based on golang
Finder Of XSS and Dal is the Korean pronunciation of moon. @hahwul


Usage:
  dalfox [command]

Available Commands:
  file        Use file mode(targets list or rawdata)
  help        Help about any command
  pipe        Use pipeline mode
  sxss        Use Stored XSS mode
  update      Update DalFox (Binary patch)
  url         Use single target mode
  version     Show version

Flags:
  -b, --blind string            Add your blind xss (e.g -b hahwul.xss.ht)
      --config string           Using config from file
  -C, --cookie string           Add custom cookie
      --custom-payload string   Add custom payloads from file
  -d, --data string             Using POST Method and add Body data
      --delay int               Milliseconds between send to same host (1000==1s)
      --found-action string     If found weak/vuln, action(cmd) to next
      --grep string             Using custom grepping file (e.g --grep ./samples/sample_grep.json)
  -H, --header string           Add custom headers
  -h, --help                    help for dalfox
      --ignore-return string    Ignore scanning from return code (e.g --ignore-return 302,403,404)
      --only-discovery          Only testing parameter analysis
  -o, --output string           Write to output file
      --output-format string    -o/--output 's format (txt/json/xml)
  -p, --param string            Only testing selected parameters
      --proxy string            Send all request to proxy server (e.g --proxy http://127.0.0.1:8080)
      --silence                 Not printing all logs
      --timeout int             Second of timeout (default 10)
      --user-agent string       Add custom UserAgent
  -w, --worker int              Number of worker (default 40)

$ dalfox [mode] [flags]

Mode cible unique

$ dalfox url http://testphp.vulnweb.com/listproducts.php\?cat\=123\&artist\=123\&asdf\=ff -b https://hahwul.xss.ht

Mode cible multiple à partir d'un fichier

$ dalfox file urls_file --custom-payload ./mypayloads.txt

Mode pipeline

$ cat urls_file | dalfox pipe -H "AuthToken: bbadsfkasdfadsf87"

Télécharger Dalfox:

Conclusion:

Dalfox est un outil incroyable que vous pouvez utiliser.

Si vous avez trouvé la valeur dans cet article. Assurez-vous de commenter ci-dessous et de stimuler l'enthousiasme de notre équipe.

Vous pouvez également donner des suggestions ou des questions concernant cet outil.

Notre équipe essaiera de vous répondre dans les plus brefs délais.