1. 首页
  2. 文章

dalfox自动化XSS检测

Sp0n · · 574 次点击 · · 开始浏览    
这是一个创建于 的文章,其中的信息可能已经有所发展或是发生改变。
第一次,站长亲自招 Gopher 了>>>

需要用到的工具

工具的各种参数请自行了解。

go环境搭建

参考文章:Linux下配置Golang开发环境

go安装gf、waybackurls和dalfox

go get -u github.com/tomnomnom/waybackurls
go get -u github.com/tomnomnom/gf
GO111MODULE=on go get -v github.com/hahwul/dalfox/v2

添加环境变量

echo 'source $GOPATH/src/github.com/tomnomnom/gf/gf-completion.bash' >> ~/.bashrc
source ~/.bashrc

构建gf规则库

mkdir ~/.gf
cp -r $GOPATH/src/github.com/tomnomnom/gf/examples/* ~/.gf
git clone https://github.com/1ndianl33t/Gf-Patterns
mv ~/Gf-Patterns/*.json ~/.gf

使用

  • waybackurls获取目标urls
echo “testphp.vulnweb.com” | waybackurls | tee urls
也可以传入文件
cat domains.txt | waybackurls |tee urls
  • gf通过规则找到可能存在xss的url,用sed进行处理
cat urls | gf xss | sed ‘s/=.*/=/’ | sed ‘s/URL: //’ | tee testxss.txt
  • 使用dalfox进行自动化xss漏洞挖掘
dalfox file testxss.txt -b tigv2.xss.ht pipe

我的配置文件

笔者这里直接使用了root进行配置(生产环境不推荐直接使用root用户)

profile
bashrc

总结

测试了一下,,个人感觉:没有好的规则库用起来很鸡肋,希望有大佬私聊py一下规则库。

有疑问加站长微信联系(非本文作者)

本文来自:简书

感谢作者:Sp0n

查看原文:dalfox自动化XSS检测

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889

574 次点击  
加入收藏 微博
收入我的专栏
上一篇:Zap日志库
下一篇:2021-04-04:给定一个非负数组arr,和一个正数m。 返回arr的所有子序列中累加和%m之后的最大值。
  • github
  • echo
  • git
  • 环境变量
    0 回复
    暂无回复
    添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
    • 请尽量让自己的回复能够对别人有帮助
    • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
    • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
    • 图片支持拖拽、截图粘贴等方式上传

    用户登录

    Go今日面试题

     今日阅读排行

      加载中

     一周阅读排行

      加载中

      关注我

    • 扫码关注领全套学习资料 关注微信公众号
    • 加入 QQ 群:
      • 192706294(已满)
      • 731990104(已满)
      • 798786647(已满)
      • 729884609(已满)
      • 977810755(已满)
      • 815126783(已满)
      • 812540095(已满)
      • 1006366459(已满)
      • 692541889

    • 关注微信公众号
    • 加入微信群:liuxiaoyan-s,备注入群
    • 也欢迎加入知识星球 Go粉丝们(免费)