사이트맵 빠른 웹 Fuzzer 열 시트¶
제품정보¶
ffuf (Fuzz Faster U Fool)는 Go에서 쓴 빠른 웹 fuzzer입니다. 웹 응용 프로그램 보안 테스트를 위한 다양한 도구로 설계되었으며, 감독, 파일, 매개 변수, 헤더 등을 제작할 수 있습니다. ffuf는 그것의 속도, 융통성 및 광대한 거르는 기능을 위해 알려져 있습니다.
· ** 보증**: 이 도구는 공인된 침투 테스트 및 보안 평가에만 적용됩니다. 모든 대상에 대해 사용하기 전에 적절한 권한이 있습니다.
설치하기¶
공지사항¶
카지노사이트
패키지 관리자 설치¶
카지노사이트
수동 설치¶
카지노사이트
Docker 설치¶
카지노사이트
기본 사용¶
명령 구조¶
카지노사이트
기본 예제¶
카지노사이트
디렉토리 및 파일 Fuzzing¶
기본 디렉토리 Fuzzing¶
카지노사이트
고급 디렉토리 옵션¶
카지노사이트
파일 확장 Fuzzing¶
카지노사이트
모수 Fuzzing¶
이름 * 모수 Fuzzing¶
카지노사이트
사이트맵 모수 Fuzzing¶
ο 회원 관리
모수 가치 Fuzzing¶
카지노사이트
헤더 Fuzzing¶
기본 헤더 Fuzzing¶
카지노사이트
HTTP: HTTP 방법 Fuzzing¶
카지노사이트
호스트 헤더 Fuzzing¶
카지노사이트
서브도메인 Fuzzing¶
기본 Subdomain Fuzzing¶
카지노사이트
고급 Subdomain 기술¶
카지노사이트
필터링 및 매칭¶
응답 부호 필터링¶
카지노사이트
응답 크기 필터링¶
카지노사이트
응답 내용 필터링¶
오프화이트
응답 텍스트 필터링¶
카지노사이트
산출과 보고¶
산출 체재¶
오프화이트
Verbose 산출¶
카지노사이트
고급 기술¶
비율 제한 및 Stealth¶
카지노사이트
프록시 및 SSL 옵션¶
카지노사이트
인증현황¶
카지노사이트
Wordlist 관리¶
사용자 정의 Wordlist 만들기¶
카지노사이트
인기있는 Wordlist¶
카지노사이트
자동화 스크립트¶
종합 웹 Fuzzing 스크립트¶
```bash
!/bin/bash¶
TARGET=\(1 OUTPUT_DIR="ffuf_results_\)(date +%Y%m%d_%H%M%S)"
if [ -z "$TARGET" ]; then
echo "Usage: $0
mkdir -p $OUTPUT_DIR
echo "[+] Starting comprehensive web fuzzing for $TARGET"
Directory fuzzing¶
echo "[+] Directory fuzzing..." ffuf -u \(TARGET/FUZZ -w /usr/share/wordlists/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -mc 200,301,302,403 -o "\)OUTPUT_DIR/directories.json" -of json
File fuzzing with extensions¶
echo "[+] File fuzzing..." ffuf -u \(TARGET/FUZZ -w /usr/share/wordlists/SecLists/Discovery/Web-Content/common.txt -e .php,.html,.txt,.js,.css,.xml,.json,.bak,.old -mc 200 -o "\)OUTPUT_DIR/files.json" -of json
Parameter fuzzing¶
echo "[+] Parameter fuzzing..." ffuf -u \(TARGET/index.php?FUZZ=test -w /usr/share/wordlists/SecLists/Discovery/Web-Content/burp-parameter-names.txt -mc 200 -fs 0 -o "\)OUTPUT_DIR/parameters.json" -of json
Subdomain fuzzing (if domain provided)¶
if [[ \(TARGET =~ ^https?://([^/]+) ]]; then DOMAIN=\)\\{BASH_REMATCH[1]\\} echo "[+] Subdomain fuzzing for \(DOMAIN..." ffuf -u \(TARGET -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-5000.txt -H "Host: FUZZ.\)DOMAIN" -mc 200 -fs 0 -o "\)OUTPUT_DIR/subdomains.json" -of json fi
echo "[+] Fuzzing complete. Results saved in $OUTPUT_DIR/" ```의 경우
API Endpoint Fuzzing 스크립트¶
```bash
!/bin/bash¶
API_BASE=$1 OUTPUT_FILE="api_endpoints.json"
if [ -z "$API_BASE" ]; then
echo "Usage: $0
echo "[+] Fuzzing API endpoints for $API_BASE"
API version fuzzing¶
echo "[+] API version fuzzing..." ffuf -u $API_BASE/FUZZ -w <(echo -e "v1\nv2\nv3\napi\napi/v1\napi/v2\napi/v3") -mc 200,301,302 -o "api_versions.json" -of json
Common API endpoints¶
echo "[+] Common API endpoints..." ffuf -u $API_BASE/api/FUZZ -w /usr/share/wordlists/SecLists/Discovery/Web-Content/api/api-endpoints.txt -mc 200,301,302 -o "api_endpoints.json" -of json
HTTP methods fuzzing¶
echo "[+] HTTP methods fuzzing..." ffuf -u $API_BASE/api/users -w <(echo -e "GET\nPOST\nPUT\nDELETE\nPATCH\nHEAD\nOPTIONS") -X FUZZ -mc 200,201,204,301,302,405 -o "api_methods.json" -of json
echo "[+] API fuzzing complete." ```에 대하여
매개 변수 Brute Force 스크립트¶
```bash
!/bin/bash¶
TARGET_URL=\(1 PARAM_NAME=\)2 WORDLIST=$3
if [ -z "\(TARGET_URL" ]||[ -z "\)PARAM_NAME" ]||[ -z "$WORDLIST" ]; then
echo "Usage: $0
echo "[+] Brute forcing parameter $PARAM_NAME on $TARGET_URL"
GET parameter brute force¶
ffuf -u "\(TARGET_URL?\)PARAM_NAME=FUZZ" -w $WORDLIST -mc 200 -fs 0 -o "param_bruteforce_get.json" -of json
POST parameter brute force¶
ffuf -u $TARGET_URL -w \(WORDLIST -X POST -d "\)PARAM_NAME=FUZZ" -H "Content-Type: application/x-www-form-urlencoded" -mc 200 -fs 0 -o "param_bruteforce_post.json" -of json
echo "[+] Parameter brute force complete." ```의 경우
다른 도구와 통합¶
Burp Suite 통합¶
```bash
Use Burp as proxy¶
ffuf -u http://target.com/FUZZ -w /usr/share/wordlists/dirb/common.txt -x http://127.0.0.1:8080
Export Burp findings to wordlist¶
From Burp: Target > Site map > Right-click > Copy URLs¶
Process URLs to create custom wordlist¶
```에 대하여
Nuclei 통합¶
```bash
Run ffuf first, then nuclei on found endpoints¶
ffuf -u http://target.com/FUZZ -w /usr/share/wordlists/dirb/common.txt -mc 200 -o found_endpoints.json -of json
Extract URLs from ffuf results¶
jq -r '.results[].url' found_endpoints.json > found_urls.txt
Run nuclei on found URLs¶
nuclei -l found_urls.txt -t /path/to/nuclei-templates/ ```의 경우
Nmap 통합¶
카지노사이트
성능 최적화¶
스레드 및 속도¶
카지노사이트
메모리 관리¶
카지노사이트
문제 해결¶
일반적인 문제¶
카지노사이트
Debug 모드¶
카지노사이트
최고의 연습¶
Fuzzing 전략¶
- ** 일반적인 wordlists로 시작 **: 작은 사용, 대상 wordlists 먼저
- ** 적절한 필터 사용 **: 흥미로운 결과에 초점을 맞추기
- ** 기술 별 fuzzing **: 대상 기술 관련 wordlists 사용
- 명세 Recursive fuzzing: Fuzz는 더 깊은 열렬한 감독을 찾았습니다.
- 명세 ** 모수 발견 **: 숨겨진 매개 변수에 대한 fuzz를 잊지 마세요
스텔스 고려¶
카지노사이트
지원하다¶
*이 속임수 시트는 ffuf를 사용하여 포괄적 인 참조를 제공합니다. 웹 애플리케이션 보안 테스트를 수행하기 전에 적절한 권한이 있습니다. *필수