DalFox是一款什么工具

小編給大家分享一下DalFox是一款什么工具，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

DalFox是一款功能強(qiáng)大的XSS參數(shù)分析和掃描工具，該工具基于Golang開發(fā)，可以幫助廣大研究人員通過分析參數(shù)，來尋找XSS漏洞，并基于DOM解析器來對(duì)找到的XSS漏洞進(jìn)行驗(yàn)證。    

核心功能

1、參數(shù)分析（尋找反射參數(shù)，尋找存在問題的字符，識(shí)別注入點(diǎn)）；

2、靜態(tài)分析（檢測存在問題的Header，例如CSP、X-Frame-optiopns等）；

3、優(yōu)化Payload查詢，通過Payload生成檢查注入點(diǎn)，消除不必要的Payload；

4、XSS掃描，支持反射型和存儲(chǔ)型；

5、所有的測試Payload已通過編碼器測試，支持雙重URL編碼和HTML十六進(jìn)制編碼；

6、友好的管道支持（單一URL、文件和IO）；

工具安裝

目前，DalFox提供了三種安裝方式，但我個(gè)人建議使用go安裝。

開發(fā)者版本（go-get或go-install）

go-install

使用下列命令將該項(xiàng)目源碼克隆至本地：

$ git clone https://github.com/hahwul/dalfox

在本地DalFox項(xiàng)目目錄下使用下列命令完成安裝：

$ go install

使用dalfox：

$ ~/go/bin/dalfox

go-get

使用下列命令下載和安裝DalFox：

$ go get -u github.com/hahwul/dalfox

使用dalfox：

$ ~/go/bin/dalfox

發(fā)布版本

首先，訪問該項(xiàng)目GitHub庫的Release頁面下載最新版本的DalFox：【傳送門】。

針對(duì)你自己的操作系統(tǒng)版本，下載并提取對(duì)應(yīng)版本的DalFox。

你也可以直接將其放入可執(zhí)行目錄中，比如說：

$ cp dalfox /usr/bin/

工具使用

$ dalfox [mode] [flags]

單一目標(biāo)模式：

$ dalfox url http://testphp.vulnweb.com/listproducts.php\?cat\=123\&artist\=123\&asdf\=ff -b https://hahwul.xss.ht

多目標(biāo)模式，從文件讀取掃描目標(biāo)：

$ dalfox file urls_file --custom-payload ./mypayloads.txt

管道模式：

$ cat urls_file | dalfox pipe -H "AuthToken: bbadsfkasdfadsf87"

工具運(yùn)行截圖

以上是“DalFox是一款什么工具”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道！