Dalfox 2.12 Çıktı ⚡︎ | Hahwul


Daha güçlü XSS taraması, entegrasyon

Dalfox v2.12.0 piyasaya sürüldü. Önceki sürüm 2.11’den bu yana yaklaşık üç ay geçti ve bu güncelleme çeşitli özellik geliştirmeleri içeriyor. Bugün, eklenen yeni özellikleri kısaca gözden geçireceğim.

Gelişmiş XSS tarama özellikleri eklendi

XSS taramasının rahatlığını ve sonuçlarını iyileştirmek için dört yeni bayrak eklendi. Bu özelliklere katkıda bulunduğu için @Ibrahmsql’e teşekkür etmek istiyorum.

  • –Detailed-Analiz: Daha fazla XSS vektörünü açığa çıkarmak için daha derin parametre analizi gerçekleştirir
  • -Faf-Scan: CI/CD boru hatlarında kullanışlı daha hızlı tarama sağlar
  • -Magic-Char-Test: Manuel analiz için sihirli karakter yükleri üretir
  • -Context-Aware: Yanıt bağlamına göre akıllıca yükleri seçer

Yardım Mesajını Geliştirin (Gruplama)

Okunabilirliği --help Mesaj geliştirildi. Seçenekler artık fonksiyona göre gruplandırılıyor, bu da onu çok daha temiz ve okumasını daha kolay hale getiriyor.

yardım

-Custom-Blind-Xss-Fayload Bayrağı

Daha önce, BSS (Blind XSS) yükleri için yalnızca önceden tanımlanmış değerler kullanılabilir. Şimdi, --custom-blind-xss-payload Bayrak, kullanıcıların kendi özel yüklerini belirtmelerine olanak tanır. Bu, özel bir C2 veya belirli bir format gerektiren ortamlarda kullanışlıdır.

dalfox url http://test.com/?q=1 --custom-blind-xss-payload 'payloads.txt'

Yeni Yük Desenleri

Kod tabanı tabanlı XSS ​​gibi yakın zamanda paylaşılan yükler eklenmiştir.

<object data=# codebase=javascript:alert(document.domain)//>
<embed src=# codebase=javascript:alert(document.domain)//>

Markdown Rapor Biçimi Ekle

A markdown (veya md) format eklendi --report-format seçenek. Artık tarama sonuçlarını temiz bir işaretleme raporu olarak kaydederek diğer belgelere entegre olmayı kolaylaştırabilirsiniz.

dalfox url "https://xss-game.appspot.com/level1/frame?query=AB" \
    --report \
    --report-format md

Bu özellik özellikle Caido’ya bağlanırken kullanışlıdır. Lütfen Dalfox Caido Entegrasyon Belgeleri’ne bakın.

Sunucu modu

İşte sunucu modu için iyileştirmeler.

API Anahtar Tabanlı Kimlik Doğrulama

. --api-key Sunucu moduna bayrak eklendi. Bu bayrakla bir API anahtarı ayarlayarak, tarayıcıyı yalnızca anahtarı içeren isteklere izin vererek daha güvenli bir şekilde çalıştırabilirsiniz. X-API-Key başlık.

# Start Server
dalfox server --api-key="SECRET" &

# Scan
curl --request POST \
  --url http://localhost:6664/scan \
  --header 'Content-Type: application/json' \
  --header 'X-API-Key: SECRET' \
  --data '{
    "options": {
        "use-headless": true,
        "use-deepdxss": true,
        "output-all": true,
        "output-request": false,
        "output-response": false,
        "follow-redirects": true
    },
    "url": "http://testphp.vulnweb.com/listproducts.php?artist=123"
}'

CORS, JSONP Desteği

Sunucu modu artık Orta Origin Kaynak Paylaşımı (CORS) ve JSONP’yi desteklemektedir. . --allow-origins Ve --jsonp Bayraklar, Dalfox API’sının diğer alanlardan web uygulamalarıyla daha esnek entegrasyonuna izin verir.

dalfox server \
    --allow-origins "https://www.hahwul.com" \
    --jsonp

Boru modu

İşte boru modu için iyileştirmeler.

Boru moduna ham HTTP istek desteği ekleyin

Boru modu artık dosya modu gibi doğrudan bir giriş olarak ham HTTP isteğini destekliyor. Bu, artış, Caido ve ZAP gibi proxy araçlarından kopyalanan istekleri doğrudan borulayabildiğiniz için birlikte çalışabilirliği önemli ölçüde artırır.

echo "POST https://www.hahwul.com/?q=dalfox HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Connection: keep-alive
Cookie: _ga=GA1.2.1102548207.1555467144; _gid=GA1.2.1362788908.1563875038
Upgrade-Insecure-Requests: 1
Host: www.hahwul.com

asdf=asdf" | ./dalfox pipe --rawdata

Hata düzeltmeleri ve bağımlılık güncellemeleri

  • Bir versiyonuna güncellendi chromedp bir yukarı akış hatasının düzeltildiği yer. (Bazı hatalara neden olduğu için güncellenmeniz önerilir).
  • Diğer küçük hatalar düzeltildi ve bağımlılık kütüphaneleri güncellendi.

Belgeler

Belgeler güncellemelere uygun olarak geliştirildi. Dalfox’u NixPKGS’de sürdüren @Fabaff da belge güncellemelerine katkıda bulundu. Ona tekrar teşekkür etmek istiyorum.

Sonraki Plan

Gelecekte, Dalfox’un aşağıdaki yollarla geliştirilmesi planlanmaktadır:

  • Dokümanlar: Okunabilirliği ve erişilebilirliği artırmak için belgeleri elden geçirmeyi planlıyoruz.
  • Sorunlardan Özellikler: GitHub sorunları olarak bildirilen çeşitli özellik önerilerini gözden geçireceğiz ve bunları geliştirmeye dahil edeceğiz.
  • Yeni mod: Yapay zekayı kullanan veya kullanıcı etkileşimi yoluyla taramalarda ilerleyen etkileşimli bir mod gibi yeni tarama modlarını kavramsallaştırıyoruz.

Bu sürüme katkıda bulunan herkese teşekkür ederim. Kore’de bu yaz alışılmadık derecede sıcak, bu yüzden hava biraz soğuduğunda işin bir sonraki aşamasına geçeceğim!



Source link