DalFox(XSS查找器) - 黑客门户-前言: 只是,XSS扫描和参数分析工具。我以前开发过XRuby,一个基于红宝石的XSS工具,这一次,在使用golang进行移植的过程中发生了全面的变化!!!并将其创建为一个新项目...

TZB互联网安全

黑客门户
关注于网络安全
首页>> 渗透测试工具 >>DalFox(XSS查找器) - 黑客门户
分类: 渗透测试工具

DalFox(XSS查找器)

文章作者:T道
发布时间:2020-7-3
手机扫码查看

前言: 只是,XSS扫描和参数分析工具。我以前开发过XRuby,一个基于红宝石的XSS工具,这一次,在使用golang进行移植的过程中发生了全面的变化!!!并将其创建为一个新项目。基......




前言:

只是,XSS扫描和参数分析工具。我以前开发过XRuby一个基于红宝石的XSS工具,这一次,在使用golang进行移植的过程中发生了全面的变化!!!并将其创建为一个新项目。基本概念是分析参数,找到XSS并根据DOM Parser对其进行验证。

我说的是命名。Dal(달)是Moon和Fox的朝鲜语发音,被制成Fox(XSS)。

   主要特点

  • 参数分析(查找反射参数,查找可用字符/不良字符,识别注入点)
  • 静态分析(使用基本请求/响应库检查诸如CSP,X-frame-optiopns等的错误标头)
  • 有效载荷的优化查询
    • 通过抽象检查注入点并生成适合的有效负载。
    • 根据badchar消除不必要的有效负载
  • XSS扫描(反映+存储)和DOM基本验证
  • 所有测试有效载荷(内置,自定义/盲目)均与编码器并行测试。
    • 支持双URL编码器
    • 支持HTML十六进制编码器
  • 友好管道(单个URL,来自文件,来自IO)
  • 以及测试所需的各种选项:D
    • 内置/自定义grepping以查找其他漏洞
    • 如果发现,则采取措施
    • 等等..

    如何安装

总共共有三种方式。建议您亲自安装。

    开发人员版本(安装或安装)

去安装

  1. 克隆此仓库
$ git clone https://github.com/hahwul/dalfox 
  1. 安装在克隆的dalfox路径中
$ go install 
  1. 使用dalfox
$ ~/go/bin/dalfox 

去弄

  1. 去拿dalfox!
$ GO111MODULE=on go get -u -v github.com/hahwul/dalfox 
  1. 使用dalfox
$ ~/go/bin/dalfox 


    用法

   _..._
  .' .::::.   __   _   _    ___ _ __ __
 :  :::::::: |  \ / \ | |  | __/ \\ V /
 :  :::::::: | o ) o || |_ | _( o )) (
 '. '::::::' |__/|_n_||___||_| \_//_n_\
   '-.::''
Parameter Analysis and XSS Scanning tool based on golang
Finder Of XSS and Dal is the Korean pronunciation of moon. @hahwul


Usage:
  dalfox [command]

Available Commands:
  file        Use file mode(targets list or rawdata)
  help        Help about any command
  pipe        Use pipeline mode
  sxss        Use Stored XSS mode
  update      Update DalFox (Binary patch)
  url         Use single target mode
  version     Show version

Flags:
  -b, --blind string            Add your blind xss (e.g -b hahwul.xss.ht)
      --config string           Using config from file
  -C, --cookie string           Add custom cookie
      --custom-payload string   Add custom payloads from file
  -d, --data string             Using POST Method and add Body data
      --delay int               Milliseconds between send to same host (1000==1s)
      --found-action string     If found weak/vuln, action(cmd) to next
      --grep string             Using custom grepping file (e.g --grep ./samples/sample_grep.json)
  -H, --header string           Add custom headers
  -h, --help                    help for dalfox
      --ignore-return string    Ignore scanning from return code (e.g --ignore-return 302,403,404)
      --only-discovery          Only testing parameter analysis
  -o, --output string           Write to output file
      --output-format string    -o/--output 's format (txt/json/xml)
  -p, --param string            Only testing selected parameters
      --proxy string            Send all request to proxy server (e.g --proxy http://127.0.0.1:8080)
      --silence                 Not printing all logs
      --timeout int             Second of timeout (default 10)
      --user-agent string       Add custom UserAgent
  -w, --worker int              Number of worker (default 40) 
$ dalfox [mode] [flags] 

单目标模式

$ dalfox url http://testphp.vulnweb.com/listproducts.php\?cat\=123\&artist\=123\&asdf\=ff -b https://hahwul.xss.ht 

来自文件的多目标模式

$ dalfox file urls_file --custom-payload ./mypayloads.txt 

流水线模式

$ cat urls_file | dalfox pipe -H "AuthToken: bbadsfkasdfadsf87" 

其他提示,有关详细说明!


项目地址:点击跳转





 屏幕截图



×

感谢您的支持,我们会一直保持!

扫码支持
请土豪扫码随意打赏

打开支付宝扫一扫,即可进行扫码打赏哦

分享从这里开始,精彩与您同在

打赏作者
版权所有,转载注意明处:黑客门户 » DalFox(XSS查找器)

发表评论

路人甲

网友评论(0)