Shikata Ga Nai

Private? There is no such things.

DalFox(Finder Of XSS)をつかってみた

Hello there, ('ω')ノ

 

DalFoxは、golangに基づくパラメータ分析およびXSSスキャンツールで。

 https://github.com/hahwul/dalfox

 

f:id:ThisIsOne:20210609172357p:plain

 

まずは、インストールを。

 GO111MODULE=on go get -v github.com/hahwul/dalfox/v2

 

f:id:ThisIsOne:20210609170550p:plain

 

下記のディレクトリにインストールされて。

 /root/go/bin

 

f:id:ThisIsOne:20210609170801p:plain

 

さっそく、下記のサイトを利用して試してみることに。

 http://testphp.vulnweb.com/

 

f:id:ThisIsOne:20210609170332p:plain

 

下記のオプションを設定して、スキャンを実行すると。

 /root/go/bin/dalfox url http://testphp.vulnweb.com/listproducts.php

 

f:id:ThisIsOne:20210609171047p:plain

 

下記のリンクにアクセスしてみると。
 http://testphp.vulnweb.com/listproducts.php?cat=%3CscRipT%3Econfirm%281%29%3C%2Fscript%3E

 

f:id:ThisIsOne:20210609171250p:plain

 

XSSを確認できて。

 

f:id:ThisIsOne:20210609171323p:plain

 

Best regards, (^^ゞ