XSS TIPS WITH PARAMSPIDER AND DALFOX

Disclaimer segala sesuatu yang terjadi diluar tanggung jawab saya. Gunakan ilmu sebijak mungkin.

Paramspider Tools

Dalfox Tools

Halo semuanya apa kabar, pada kesempatan kali ini saya ingin membagikan tips XSS dengan kedua tools yaitu paramspider dan dalfox yang sangat powerful.

Kedua tools memiliki perannya masing masing ketika ingin melakukan bug hunting. Paramspider sendiri berguna untuk mengumpulkan parameter pada website target dan ingin sangat membantu ketika kita ingin melakukan pencarian sebuah kerentanan XSS khusus pada tips kali ini.

Kemudian untuk Dalfox sendiri sangat berguna untuk explore lebih dalam ketika kita sudah mengumpulkan parameter yang di dapat hasil dari paramspider. sehingga pada kesempatan kali ini saya ingin membagikan tips menggabungkan kedua tools ini untuk proses kita bug hunting.

Installasi Paramspider
Note : Use python 3.7+

$ git clone https://github.com/devanshbatham/ParamSpider
$ cd ParamSpider
$ pip3 install -r requirements.txt
$ python3 paramspider.py --domain hackerone.com

Thanks To Devanshbatham

Installasi Dalfox

go1.17

go install github.com/hahwul/dalfox/v2@latest

go1.16

GO111MODULE=on go get github.com/hahwul/dalfox/v2

Using homebrew (macos)

brew tap hahwul/dalfox
brew install dalfox

Using snapcraft (ubuntu)

sudo snap install dalfox

Setelah proses installasi selesai, kita langsung ke inti sharingnya
1. Proses crawling parameter menggunakan paramspider

python3 paramspider.py — domain https://redacted.com — level high — exclude woff,css,js,png,svg,php,jpg — output redacted.txt

2. Selanjutnya proses explore lebih dalam menggunakan dalfox

dalfox file redacted.txt -b bugbountyicodeidc.bxss.in -o hasil-redacted.txt

Dan hasil dari dalfox ketika Triggered XSS Payload

Sekian dari saya semoga bermanfaat dan membantu, jangan lupa gunakan dengan sebijak mungkin. apabila ada salah kata mohon maaf