Dalfox

Dalfox - мощный инструмент с открытым исходным кодом, ориентированный на автоматизацию, что делает его идеальным для быстрого сканирования на наличие уязвимостей XSS и анализа параметров. Его расширенный движок тестирования и нишевые функции разработаны для оптимизации процесса обнаружения и проверки уязвимостей.

Название инструмента происходит от Dal(달) — это корейское слово, означающее «луна» и «Fox» означает «Finder Of XSS»

🌚Доступные команды:
⏺️completion - Генерация скрипта автодополнения для указанной оболочки
⏺️file - Использовать файловый режим (список целей или необработанные данные)
⏺️help - Помощь
⏺️payload - Режим полезной нагрузки
⏺️pipe - Использовать режим конвейера
⏺️server - Запустить сервер API
⏺️sxss - Использовать режим Stored XSS
⏺️url - Использовать режим одной цели
⏺️version - Версия

⬇️Установка:

git clone https://github.com/hahwul/dalfox.git

📁Сборка:

go build

⬆️Запуск:

./dalfox

⬆️Запуск (без сборки):

go run dalfox.go

📌Давайте рассмотрим команды:
1️⃣Для простого сканирования цели используем такую команду:

./dalfox url https://example.com/?q=

2️⃣Для генерации скрипта автодополнения для указанной оболочки пишем:

./dalfox completion bash

подобное мы с вами уже видели в Gobuster
3️⃣Для запуска сервера API:

./dalfox server

📌Теперь посмотрим на ключи:
-X - позволит нам отправлять параметры в теле запросы либо в заголовке

./dalfox -X POST url https://example.com/?q=

-o - Записать результат в файл

./dalfox url http://example.com/?q= -o /home/kali/Desktop/out.txt

-F - позволит переходить по редиректам

./dalfox url https://example.com/?q= -F