📜  DalFox – 参数分析和 XSS 扫描工具

📅  最后修改于: 2022-05-13 01:57:32.280000             🧑  作者: Mango

DalFox – 参数分析和 XSS 扫描工具

Dalfox工具是一种基于 DOM(文档对象模型)解析器的快速、参数分析和跨站点脚本 (XSS) 扫描器工具。 XSS Dalfox 有一些额外的功能,可以测试 SQL 注入(SQLi)、服务器端模板注入(SSTI)和开放重定向。 Dalfox 是一个基于 Golang 语言的工具。 Dalfox 还能够发现目标 Web 应用程序上的反射、存储和盲 XSS。基本概念是基于DOM Parser分析参数,发现XSS,并进行验证。

主要特点:

  • Dalfox 进行参数分析以找到反射参数。
  • Dalfox 发现自由/邪恶字符并识别注入点
  • Dalfox 进行静态分析,检查 CSP、X-Frame 选项等坏标头。
  • Dalfox 对有效载荷进行优化查询,通过抽象检查注入点,并生成拟合的有效载荷。
  • Dalfox 基于错误的字符消除了不必要的负载。

在 Kali Linux 中安装 Dalfox 工具

步骤 1 :使用以下命令更新包列表。

sudo apt update

第 2 步:使用以下命令在 Kali Linux 上安装 snapd。



sudo apt install snapd

第 3 步:使用以下命令启用并启动 snapd 和 snapd.apparmor 服务。

systemctl enable --now snapd apparmor

第 4 步:使用 snapd 安装 Dalfox。使用以下命令。

sudo snap install dalfox

第 5 步:查看 Dalfox 工具的帮助页面以获得更好的理解。使用以下命令

dalfox --help

与达尔福斯合作

示例 1:单目标模式



现在,我们已经成功地在我们的系统上安装了 Dalfox。现在是真正与 Dalfox 合作的时候了。

1. 从下面的屏幕截图中,您可以看到漏洞参数与有效载荷一起被检测到。

2. 我们发现了DOM Object XSS。 Payload 也是由工具本身设计的。

3. 现在,我们将复制触发 XSS 的完整地址链接。



4.在浏览器中粘贴链接地址,检查XSS是否为Popup。

示例 2:来自文件的多目标模式

1.我们在targets.txt中有多个目标URL。

2. 在目标URL之一上检测到XSS,现在我们只是复制链接来验证XSS Popups是否触发。

3.在浏览器中复制URL触发XSS

示例 3:流水线模式

1. 我们使用了 dalfox 管道命令与资产查找器和 gau 工具。

2.我们在testphp.vulnweb.com的参数之一上检测到XSS。

通过运行这些命令,您可以在目标域中找到任何类型的 XSS。