• Network
  • Security
  • Software
  • Thủ thuật
  • Tin tức
  • Video hướng dẫn
  • Donate – Mời AnonyViet ly Cafe ☕
AnonyViet
  • Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
No Result
View All Result
  • Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
No Result
View All Result
AnonyViet
No Result
View All Result

Cách scan lỗ hổng XSS tự động với Dalfox

Hevin by Hevin
in Basic Hacking
Reading Time: 6 mins read
A A
0

Mục lục bài viết

  1. Khái niệm ngắn gọn về XSS
  2. Dalfox – Công cụ Pentest Web Application
  3. Cách cài đặt công cụ Dalfox
  4. Cách sử dụng Dalfox
  5. Cách sử dụng Dalfox + ParamSpider để quét lỗ hổng tự động

Chào các bạn, trong bài viết ngày hôm nay, mình sẽ hướng dẫn cho bạn sử dụng công cụ Dalfox để quét lỗ hổng XSS, đây là một công cụ khá hay và thú vị, rất hữu ích cho các bạn đam mêm Pentester cũng như các nhà Pentester khác họ cũng thích dùng Dalfox. Trước khi vào bài viết, mình sẽ giới thiệu qua về công cụ Dalfox và khái niệm ngắn gọn về lỗ hổng XSS. Vào vấn đề chính thôi !

Tham gia kênh Telegram của AnonyViet  👉 Link 👈

Lưu ý: Bài viết này chỉ dành cho mục đích giáo dục, nghiên cứu đề tài. Vui lòng không thực hiện các cuộc tấn công bất hợp pháp. Anonyviet sẽ không chịu mọi trách nhiệm và mọi hành vi bất hợp pháp do bạn gây ra !

Các bài viết liên quan

Cách Quét lỗ hổng bảo mật bằng Metasploit 6

Cách Quét lỗ hổng bảo mật bằng Metasploit

03/08/2022
Follina

Demo cách Khai thác lỗ hổng Follina của Microsoft Word

06/06/2022
redteam toolkit

Hướng dẫn sử dụng RedTeam Toolkit – Phần mềm tìm kiếm lỗi bảo mật

31/05/2022
nuclei quét lỗ hổng bảo mật

Cách cài đặt Nuclei để quét lỗ hổng bảo mật Website

11/05/2022

Khái niệm ngắn gọn về XSS

Cross-Site Scripting (XSS) là một loại tấn công bảo mật mà kẻ tấn công có thể chèn mã độc vào trang web của một ai đó và khi người dùng truy cập trang web đó, mã độc sẽ được thực thi trên máy của người dùng đó. XSS có thể dẫn đến việc mất tín dụng, lộ thông tin riêng tư hoặc tấn công máy người dùng.

Về cách thức hoạt động của lỗ hổng này như sau: Lỗ hổng XSS hoạt động bằng cách chèn mã độc vào một trang web hoặc một form input của trang web. Khi người dùng truy cập vào trang web hoặc nhập dữ liệu vào form đó, mã độc sẽ được thực thi trên trình duyệt của người dùng. Mã độc có thể lấy thông tin từ trình duyệt của người dùng, gửi thông tin đến một máy chủ khác hoặc thực hiện các tác vụ khác như tấn công máy người dùng hoặc mất tín dụng.

Dalfox – Công cụ Pentest Web Application

DalFox là một công cụ quét XSS mã nguồn mở mạnh mẽ, phân tích tham số và tiện ích giúp đẩy nhanh quá trình phát hiện và xác minh các lỗi XSS. Nó đi kèm với một công cụ kiểm tra mạnh mẽ, nhiều tính năng thích hợp dành cho các nhà Pentester. Tác giả của công cụ này đó là HAHWUL, là một kỹ sư và là nhà bảo mật. Ngoài ra Dalfox còn là một trong những công cụ pentest web application hữu ích nhất hiện nay và nên được sử dụng bởi mọi nhà pentester để tìm kiếm và sửa các lỗ hổng bảo mật trong trang web

Cách cài đặt công cụ Dalfox

Để sử dụng được Dalfox, đương nhiên bạn cần cài đặt nó rồi :>, và cách cài đặt Dalfox cũng khá đơn giản, bạn chỉ cần làm như sau:

Đối với Kali Linux: bạn chỉ cần copy đoạn code Python bên dưới, sau đó lưu nó một cái tên bất kì và kèm theo đuôi .py, ở đây mình lưu là name.py, sau khi paste code và lưu code rồi, bây giờ bạn chỉ cần chạy lệnh sau sudo apt install golang -y sau đó chạy script Python bằng cách sử dụng lệnh python tênfile.py

Và như vậy, Dalfox sẽ tự động cài về máy Kali Linux của bạn

#!/usr/bin/env python3

import os
import sys

def install_golang_module(module):
    modulename = module.split("/")[-1].lower()
    if not os.path.exists("/opt/" + modulename):
        print("Installing go module " + modulename)
        cmdseries = ["sudo -E GO111MODULE=on go get -v " + module,
                     "sudo ln -s /opt/" + modulename + "/bin/" + \
                     modulename + " /usr/local/bin/" + modulename]
        os.environ["GOPATH"] = "/opt/" + modulename
        for cmdstring in cmdseries:
            os.system(cmdstring)

if __name__ == '__main__':
    golang_modules_to_install = ['github.com/hahwul/dalfox']
    for module in golang_modules_to_install:
        install_golang_module(module)

Đối với Windows: Bạn chỉ cần vào Link này, download và giải nén nó ra sau đó chỉ việc mở terminal lên và chạy thôi

Cách sử dụng Dalfox

Để quét được lỗ hổng XSS trên 1 website bất kì chúng ta có cú pháp lệnh như sau:

dalfox url websitecoxss -b hawhul.xss.ht

Ví dụ:

dalfox url http://testphp.vulnweb.com:80/hpp/index.php?pp=FUZZ -b hawhul.xss.ht

Và đây là kết quả:

Cách scan lỗ hổng XSS tự động với Dalfox

Ngoài ra Dalfox có rất nhiều câu lệnh hay và thú vị khác nhau, bạn có thể tự tìm hiểu tại trang GitHub của Dalfox nhé

Cách sử dụng Dalfox + ParamSpider để quét lỗ hổng tự động

Dành cho những bạn nào chưa biết về công cụ ParamSpider thì công cụ Paramspider được phát triển bởi Devansh Batham, công cụ này có chức năng “khai thác tham số từ các góc tối của web”. Nói nôm na là nó giống như Craw các url có khả năng bị tấn công.

Cách cài đặt Paramspider:

git clone https://github.com/devanshbatham/ParamSpider.git

cd ParamSpider

pip install -r requirements.txt hoặc pip3 install -r requirements.txt

python paramspider.py -d têndomain hoặc  python3 paramspider.py -d têndomain

Cách dùng Paramspider + Dalfox:

Cú pháp lệnh python paramspider.py -d têndomain -o TênFileoutput.txt

Ví dụ:

python paramspider.py -d testphp.vulnweb.com -o vuln.xss

XSS SCAN

Output có dạng như sau:

Cách scan lỗ hổng XSS tự động với Dalfox 4

Như vậy, chúng ta đã có các url của web, bây giờ chuyển qua Dalfox để scan từng url

Cú pháp lệnh như sau: dalfox file đườngdẫnchứa\TênFileoutput.txt -b hawhul.xss.ht

Ví dụ: dalfox file vuln.xss -b hawhul.xss.ht

quét xss website Dalfox

Sau đây là kết quả khá nhiều anh em mong đợi :>

Cách scan lỗ hổng XSS tự động với Dalfox 5

Như vậy có khá nhiều Payload Xss được hiện ra !!!

Bài viết đến đây là kết thúc, mình mong các bạn học được điều gì đó từ bài này, nếu có gặp web nào có lỗ hổng XSS hãy báo cho ngay admin web đó nhé, biết đâu lại được tiền đúng không  ? :))

Chúc các bạn có một ngày thật tốt lành !

Bạn cũng có thể đọc thêm bài 10 website giúp bạn thực hành kỹ năng hack XSS 

Bài viết đạt: 4/5 - (5 bình chọn)
Tags: Dalfoxlỗ hổng bảo mậtParamSpiderXSS
Hevin

Hevin

Related Posts

Cách Sao chép Chứng chỉ số từ App này sang App khác 7
Basic Hacking

Cách Sao chép Chứng chỉ số từ App này sang App khác

10/03/2023
code virus pha huy mbr o cung
Basic Hacking

Code phá hủy MBR ổ cứng – Tấn công và phòng chống

19/02/2023
HackingTool - Tổng hợp công cụ dành cho hacker
Basic Hacking

HackingTool – Tổng hợp tool hack dành cho hacker

10/01/2023 - Updated on 11/01/2023
osint truy vet gmail ghunt v2
Basic Hacking

Truy tìm chủ tài khoản Gmail bằng Ghunt V2 (Gmail OSINT)

19/12/2022
Lộ trình để trở thành Hacker thực thụ
Basic Hacking

Lộ trình để trở thành Hacker thực thụ

18/11/2022
dung hydra brute force password
Basic Hacking

Cách dùng Hydra để Brute Force Password

31/10/2022
Next Post
tang dung luong o C khi dung zalo

Cách giải phóng dung lượng Zalo trên ổ C vẫn giữ nguyên dữ liệu

guest

guest

Website này sử dụng Akismet để hạn chế spam. Tìm hiểu bình luận của bạn được duyệt như thế nào.

0 Comments
Inline Feedbacks
View all comments

Asia 300×600

Liên hệ Quảng Cáo

Lien he AnonyViet

Đối tác —

Fshare

Các bài mới

Cách mở khóa tính năng FM Radio ẩn trên điện thoại 8

Cách mở khóa tính năng FM Radio ẩn trên điện thoại

26/03/2023
cac nhom hacker apt tren the gioi

Tổng hợp các nhóm Hacker APT trên thế giới

25/03/2023
Cách dùng AI của DALL-E 2 để tạo hình ảnh theo ý bạn 9

Cách dùng AI của DALL-E 2 để tạo hình ảnh theo ý bạn

24/03/2023
kiem tra file folder lon nhat linux

Cách tìm File/Folder lớn nhất trên Linux

23/03/2023
Cách đăng ký và sử dụng Google Bard - AI của Google 10

Cách đăng ký và sử dụng Google Bard – AI của Google

22/03/2023

Ads

Giới thiệu

AnonyViet

AnonyViet

Nơi chia sẻ những kiến thức mà bạn chưa từng được học trên ghế nhà trường!

Chúng tôi sẵn sàng đón những ý kiến đóng góp, cũng như bài viết của các bạn gửi đến AnonyViet.

Hãy cùng AnonyViet xây dựng một cộng đồng CNTT lớn mạnh nhất!

Giới thiệu

AnonyViet là Website chia sẻ miễn phí tất cả các kiến thức về công nghệ thông tin. AnonyViet cung cấp mọi giải pháp về mạng máy tính, phần mềm, đồ họa và MMO.

Liên hệ

Email: anonyviet.com[@]gmail.com

1409 Hill Street #01-01A
Old Hill Street Police Station
Singapore 179369

 

Bản quyền: DMCA.com Protection Status

Phản hồi gần đây

  • olalavui trong Tạo VPS bằng Google Cloud miễn phí 2021
  • thái trong Download IObit Uninstaller 12 Full Key – Gỡ bỏ phần mềm tận gốc
  • tiến trong Hướng dẫn Fake link Facebook để spam
  • Mạnh Cường trong Cách đăng ký và sử dụng Google Bard – AI của Google
  • Co Dang trong Cách Active Microsoft 365 Miễn Phí
https://shbet8.org

©2023 AnonyViet - Chúng tôi mang đến cho bạn những kiến thức bổ ích về Công nghệ. Google Bing Github Github stackoverflow Youtube wikipedia reddit iwinclublink.app tải game iwin tải iwin apk tải tdtc w88 top tải win456 iwin888 ku11net.co ku fun twin F8BET https://new8869.com https://okuytin.com

No Result
View All Result
  • Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC

©2023 AnonyViet - Chúng tôi mang đến cho bạn những kiến thức bổ ích về Công nghệ. Google Bing Github Github stackoverflow Youtube wikipedia reddit iwinclublink.app tải game iwin tải iwin apk tải tdtc w88 top tải win456 iwin888 ku11net.co ku fun twin F8BET https://new8869.com https://okuytin.com

wpDiscuz
!

Ads

Ads Blocker Detected!!! - Vui lòng tắt Ad Blocker!!!

Vui lòng tắt Ad Blocker

Có vẻ như bạn đang bật trình chặn Quảng cáo.

{Trường hợp bạn đang dùng trình duyệt từ Facebook, hãy copy link bài viết qua Chrome để xem nội dung, như vậy sẽ không bị chặn}

Website chúng tôi duy trì nhờ vào doanh thu quảng cáo, vì vậy hãy tắt trình chặn quảng cáo để chúng tôi có kinh phí chi trả tiền thuê Server, xin cảm ơn!

I've disable Adblock - Tôi đã tắt Adblock