達福克斯 – 參數分析 & XSS檢測器教程

達福克斯 是一個了不起的參數分析和XSS掃描工具.

Dalfox通常是指,

Dal =月亮 (韓語發音 ) ; Fox =查找XSS.

Dalfox功能:

• 參數分析 (查找反映的參數, 查找免費/壞字, 注射點識別)
• 靜態分析 (檢查像CSP這樣的錯誤標題, X框架選項, 等等. 具有基本請求/響應基礎)
• 有效載荷的優化查詢
  • 通過抽象檢查注入點並生成適合的有效載荷.
  • 根據壞字符消除不必要的有效載荷
• XSS掃描(反映了 + 已儲存) 和DOM Base驗證
• 所有測試有效載荷(內建, 您的自定義/盲目) 與編碼器並行測試.
  • 支持雙URL編碼器
  • 支持HTML十六進制編碼器
• 友好管道 (單一網址, 來自文件, 來自IO)
• And the various options required for the testing 😀
  • 內置/自定義grepping以查找其他漏洞
  • 如果發現, 行動後
  • 等等.

---

Editor’s choice:

• Macof – Ultimate Flooding Tool | 講解[2020]
• NWAnime – Best Alternatives of NWAnime [2020]
• CCMAKER – Download Ultimate Adobe Piracy Kit[2020]
• LOSMOVIES – The Best Movie Streaming Website Alive

---

如何安裝Dalfox?

共有三種安裝Dalfox的方式.

您可以使用其中任何一個.

1. 去安裝

1. 首先，只需克隆此存儲庫.

$ git clone https://github.com/hahwul/dalfox

2. 在克隆的Dalfox路徑中安裝

$ go install

3. 使用dalfox

$ ~/go/bin/dalfox

2. 去弄

1. 去拿dalfox!

$ go get -u github.com/hahwul/dalfox

2. 使用dalfox

$ ~/go/bin/dalfox

3. 發布版本

1. 打開最新版本頁面 https://github.com/hahwul/dalfox/releases/latest
2. 下載文件下載並解壓縮適合您操作系統的文件.
3. 您可以將其放在執行目錄中並使用. 例如

$ cp dalfox /usr/bin/

達福克斯的用法:

    _..._
  .' .::::.   __   _   _    ___ _ __ __
 :  :::::::: |  \ / \ | |  | __/ \\ V /
 :  :::::::: | o ) o || |_ | _( o )) (
 '. '::::::' |__/|_n_||___||_| \_//_n_\
   '-.::''
Parameter Analysis and XSS Scanning tool based on golang
Finder Of XSS and Dal is the Korean pronunciation of moon. @hahwul


Usage:
  dalfox [command]

Available Commands:
  file        Use file mode(targets list or rawdata)
  help        Help about any command
  pipe        Use pipeline mode
  sxss        Use Stored XSS mode
  update      Update DalFox (Binary patch)
  url         Use single target mode
  version     Show version

Flags:
  -b, --blind string            Add your blind xss (e.g -b hahwul.xss.ht)
      --config string           Using config from file
  -C, --cookie string           Add custom cookie
      --custom-payload string   Add custom payloads from file
  -d, --data string             Using POST Method and add Body data
      --delay int               Milliseconds between send to same host (1000==1s)
      --found-action string     If found weak/vuln, action(cmd) to next
      --grep string             Using custom grepping file (e.g --grep ./samples/sample_grep.json)
  -H, --header string           Add custom headers
  -h, --help                    help for dalfox
      --ignore-return string    Ignore scanning from return code (e.g --ignore-return 302,403,404)
      --only-discovery          Only testing parameter analysis
  -o, --output string           Write to output file
      --output-format string    -o/--output 's format (txt/json/xml)
  -p, --param string            Only testing selected parameters
      --proxy string            Send all request to proxy server (e.g --proxy http://127.0.0.1:8080)
      --silence                 Not printing all logs
      --timeout int             Second of timeout (default 10)
      --user-agent string       Add custom UserAgent
  -w, --worker int              Number of worker (default 40)

$ dalfox [mode] [flags]

單目標模式

$ dalfox url http://testphp.vulnweb.com/listproducts.php\?cat\=123\&artist\=123\&asdf\=ff -b https://hahwul.xss.ht

來自文件的多目標模式

$ dalfox file urls_file --custom-payload ./mypayloads.txt

流水線模式

$ cat urls_file | dalfox pipe -H "AuthToken: bbadsfkasdfadsf87"

下載Dalfox:

結論:

達福克斯 是您可以使用的絕佳工具.

如果您對本文中發現價值. 請務必在下方留言，以增強我們團隊的熱情.

您也可以提供有關此工具的任何建議或問題.

我們的團隊將盡快回复您.