DalFox是一款功能强大的开源XSS扫描工具和参数分析器,可快速检测和验证XSS缺陷的过程。它带有强大的测试引擎,为测试人员提供了许多便利的功能!
0x01 工具安装
1、GO1.17:
go install github.com/hahwul/dalfox/[email protected]2、GO1.16
brew tap hahwul/dalfoxbrew install dalfox
3、ubuntu
sudo snap install dalfox0x02 基本用法
dalfox [mode] [target] [flags] 1、单目标模式
dalfox url http://testphp.vulnweb.com/listproducts.php\?cat\=123\&artist\=123\&asdf\=ff \-b https://hahwul.xss.ht
2、文件的多目标模式
dalfox file urls_file --custom-payload ./mypayloads.txt
3、流水线模式
cat urls_file | dalfox pipe -H "AuthToken: bbadsfkasdfadsf87"
0x03 测试POC格式
示例 POC 日志
[POC][G][BUILT-IN/dalfox-error-mysql/GET] http://testphp.vulnweb.com/listproducts.php?artist=123&asdf=ff&cat=123DalFox[POC][V][GET] http://testphp.vulnweb.com/listproducts.php?artist=123&asdf=ff&cat=123%22%3E%3Csvg%2Fclass%3D%22dalfox%22onLoad%3Dalert%2845%29%3E
这是一种通过切割等更容易解析 poc 代码的方法。例如,可以执行此操作:
dalfox url http://testphp.vulnweb.com/listproducts.php\?cat\=123\&artist\=123\&asdf\=ff \| cut -d " " -f 2 > outputcat output
后台回复:230316,获取工具包
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白名单。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与本公众号无关。
✦
✦
特别标注:
本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论