시작하기

이 장은 아무것도 없는 상태에서 검증된 XSS 취약점을 찾기까지, 약 10분 남짓한 과정을 안내합니다.

Dalfox란?

Dalfox는 오픈소스 XSS 스캐너이자 자동화 도구입니다. URL 하나, URL 목록 파일, 또는 파이프로 넘긴 크롤링 결과를 주면 다음을 수행합니다.

  1. 파라미터 탐색 — 쿼리 스트링, 바디, 헤더, 쿠키, DOM 전반에서 파라미터를 찾습니다.
  2. 컨텍스트 확인 — 각 파라미터가 어디에 놓이는지(HTML, JavaScript, 속성, CSS) 파악합니다.
  3. 페이로드 주입 — 컨텍스트에 맞춘 페이로드를 넣고, 필요하면 WAF 우회 인코더를 함께 씁니다.
  4. 취약점 검증 — 단순 문자열 매칭이 아니라 AST 기반 파서로 DOM 수준에서 확인합니다.
  5. 결과 보고 — 작업 흐름에 맞는 형식(plain, JSON, JSONL, Markdown, SARIF, TOML)으로 출력합니다.

누구를 위한 도구인가

  • 모의해킹·버그 헌터: 어떤 정찰 환경에도 어울리는 빠른 CLI 정찰.
  • 보안팀: SARIF 출력을 GitHub Advanced Security나 여느 SAST 대시보드에 그대로 넣을 수 있습니다.
  • 개발자: REST API와 MCP 서버로 CI/CD 파이프라인과 AI 에이전트가 도구를 벗어나지 않고 스캔을 돌립니다.

어디서 시작할까

설치부터 시작해 빠른 시작을 따라가 보세요. 그다음 가이드에서 WAF 우회, 저장형 XSS 같은 더 깊은 주제를 다룹니다.

이 섹션의 문서

ESC