Chào các bạn, trong bài viết ngày hôm nay, mình sẽ hướng dẫn cho bạn sử dụng công cụ Dalfox để quét lỗ hổng XSS, đây là một công cụ khá hay và thú vị, rất hữu ích cho các bạn đam mêm Pentester cũng như các nhà Pentester khác họ cũng thích dùng Dalfox. Trước khi vào bài viết, mình sẽ giới thiệu qua về công cụ Dalfox và khái niệm ngắn gọn về lỗ hổng XSS. Vào vấn đề chính thôi !
Lưu ý: Bài viết này chỉ dành cho mục đích giáo dục, nghiên cứu đề tài. Vui lòng không thực hiện các cuộc tấn công bất hợp pháp. Anonyviet sẽ không chịu mọi trách nhiệm và mọi hành vi bất hợp pháp do bạn gây ra !
Khái niệm ngắn gọn về XSS
Cross-Site Scripting (XSS) là một loại tấn công bảo mật mà kẻ tấn công có thể chèn mã độc vào trang web của một ai đó và khi người dùng truy cập trang web đó, mã độc sẽ được thực thi trên máy của người dùng đó. XSS có thể dẫn đến việc mất tín dụng, lộ thông tin riêng tư hoặc tấn công máy người dùng.
Về cách thức hoạt động của lỗ hổng này như sau: Lỗ hổng XSS hoạt động bằng cách chèn mã độc vào một trang web hoặc một form input của trang web. Khi người dùng truy cập vào trang web hoặc nhập dữ liệu vào form đó, mã độc sẽ được thực thi trên trình duyệt của người dùng. Mã độc có thể lấy thông tin từ trình duyệt của người dùng, gửi thông tin đến một máy chủ khác hoặc thực hiện các tác vụ khác như tấn công máy người dùng hoặc mất tín dụng.
Dalfox – Công cụ Pentest Web Application
DalFox là một công cụ quét XSS mã nguồn mở mạnh mẽ, phân tích tham số và tiện ích giúp đẩy nhanh quá trình phát hiện và xác minh các lỗi XSS. Nó đi kèm với một công cụ kiểm tra mạnh mẽ, nhiều tính năng thích hợp dành cho các nhà Pentester. Tác giả của công cụ này đó là HAHWUL, là một kỹ sư và là nhà bảo mật. Ngoài ra Dalfox còn là một trong những công cụ pentest web application hữu ích nhất hiện nay và nên được sử dụng bởi mọi nhà pentester để tìm kiếm và sửa các lỗ hổng bảo mật trong trang web
Cách cài đặt công cụ Dalfox
Để sử dụng được Dalfox, đương nhiên bạn cần cài đặt nó rồi :>, và cách cài đặt Dalfox cũng khá đơn giản, bạn chỉ cần làm như sau:
Đối với Kali Linux: bạn chỉ cần copy đoạn code Python bên dưới, sau đó lưu nó một cái tên bất kì và kèm theo đuôi .py, ở đây mình lưu là name.py, sau khi paste code và lưu code rồi, bây giờ bạn chỉ cần chạy lệnh sau sudo apt install golang -y sau đó chạy script Python bằng cách sử dụng lệnh python tênfile.py
Và như vậy, Dalfox sẽ tự động cài về máy Kali Linux của bạn
#!/usr/bin/env python3
import os
import sys
def install_golang_module(module):
modulename = module.split("/")[-1].lower()
if not os.path.exists("/opt/" + modulename):
print("Installing go module " + modulename)
cmdseries = ["sudo -E GO111MODULE=on go get -v " + module,
"sudo ln -s /opt/" + modulename + "/bin/" + \
modulename + " /usr/local/bin/" + modulename]
os.environ["GOPATH"] = "/opt/" + modulename
for cmdstring in cmdseries:
os.system(cmdstring)
if __name__ == '__main__':
golang_modules_to_install = ['github.com/hahwul/dalfox']
for module in golang_modules_to_install:
install_golang_module(module)
Đối với Windows: Bạn chỉ cần vào Link này, download và giải nén nó ra sau đó chỉ việc mở terminal lên và chạy thôi
Cách sử dụng Dalfox
Để quét được lỗ hổng XSS trên 1 website bất kì chúng ta có cú pháp lệnh như sau:
dalfox url websitecoxss -b hawhul.xss.ht
Ví dụ:
dalfox url http://testphp.vulnweb.com:80/hpp/index.php?pp=FUZZ -b hawhul.xss.ht
Và đây là kết quả:
Ngoài ra Dalfox có rất nhiều câu lệnh hay và thú vị khác nhau, bạn có thể tự tìm hiểu tại trang GitHub của Dalfox nhé
Cách sử dụng Dalfox + ParamSpider để quét lỗ hổng tự động
Dành cho những bạn nào chưa biết về công cụ ParamSpider thì công cụ Paramspider được phát triển bởi Devansh Batham, công cụ này có chức năng “khai thác tham số từ các góc tối của web”. Nói nôm na là nó giống như Craw các url có khả năng bị tấn công.
Cách cài đặt Paramspider:
git clone https://github.com/devanshbatham/ParamSpider.git
cd ParamSpider
pip install -r requirements.txt hoặc pip3 install -r requirements.txt
python paramspider.py -d têndomain hoặc python3 paramspider.py -d têndomain
Cách dùng Paramspider + Dalfox:
Cú pháp lệnh python paramspider.py -d têndomain -o TênFileoutput.txt
Ví dụ:
python paramspider.py -d testphp.vulnweb.com -o vuln.xss
Output có dạng như sau:
Như vậy, chúng ta đã có các url của web, bây giờ chuyển qua Dalfox để scan từng url
Cú pháp lệnh như sau: dalfox file đườngdẫnchứa\TênFileoutput.txt -b hawhul.xss.ht
Ví dụ: dalfox file vuln.xss -b hawhul.xss.ht
Sau đây là kết quả khá nhiều anh em mong đợi :>
Như vậy có khá nhiều Payload Xss được hiện ra !!!
Bài viết đến đây là kết thúc, mình mong các bạn học được điều gì đó từ bài này, nếu có gặp web nào có lỗ hổng XSS hãy báo cho ngay admin web đó nhé, biết đâu lại được tiền đúng không ? :))
Chúc các bạn có một ngày thật tốt lành !
Bạn cũng có thể đọc thêm bài 10 website giúp bạn thực hành kỹ năng hack XSS
Câu hỏi thường gặp
Dalfox là gì và tại sao tôi nên sử dụng nó?
Dalfox là một công cụ mã nguồn mở mạnh mẽ giúp quét lỗ hổng XSS (Cross-Site Scripting) trong các ứng dụng web. Nó dễ sử dụng và hiệu quả, giúp các nhà phát triển và chuyên gia bảo mật nhanh chóng phát hiện và khắc phục các lỗ hổng này.
Tôi có thể cài đặt Dalfox trên hệ điều hành nào?
Dalfox có thể được cài đặt trên nhiều hệ điều hành, bao gồm Kali Linux và Windows. Hướng dẫn cài đặt chi tiết được cung cấp trong bài viết.
Làm thế nào để sử dụng Dalfox kết hợp với ParamSpider để quét tự động?
ParamSpider giúp thu thập các tham số từ website. Sau khi có danh sách tham số từ ParamSpider, bạn có thể sử dụng Dalfox để quét các tham số đó nhằm phát hiện lỗ hổng XSS. Hướng dẫn chi tiết về cách kết hợp hai công cụ này cũng có trong bài viết.
