What is it?
ペネトレーションテスト中に隠されたコンテンツ、ディレクトリ、ファイル、サブドメインを発見し、脆弱性をテストするために設計された高速Webファザーffuf(Fuzz Faster U Fool)の使用に関する専門ガイドです。dirbやdirbusterなどの従来のツールよりもはるかに高速で、自動キャリブレーション機能に重点を置き、誤検出を大幅に削減して人間とAIの両方が結果分析をより容易に行えるようにします。
How to use it?
このスキルはベストプラクティスワークフローを強調します:
-
常に自動キャリブレーションを使用 -
-acフラグは生産的なペネトレーションテストに必須です。繰り返しの誤検出を自動的に検出してフィルタリングし、動的Webサイトのノイズを除去し、ターゲットの特定の動作に適応します。 -
基本的な発見 - シンプルなディレクトリファジングから開始:
ffuf -w wordlist.txt -u https://target.com/FUZZ -ac -
認証済みファジング - 複雑な認証の場合はコマンドラインフラグの代わりに生のリクエストを使用:
- Burp SuiteまたはDevToolsから認証済みリクエストをキャプチャ
- 目的の位置にFUZZキーワードを使用して
req.txtに保存 - 実行:
ffuf --request req.txt -w wordlist.txt -ac
-
高度なシナリオ - 適切なフィルタリングとレート制限を使用したサブドメイン列挙、パラメータファジング、APIエンドポイント発見、脆弱性テスト。
常に結果を保存し(-o results.json -of json)、ステルスのためにレート制限を使用してください(-rate 2 -t 10)。
Key Features
- 自動キャリブレーション(-acフラグ) - 繰り返し応答を自動フィルタリングしターゲット動作に適応
- 高速ファジング - マルチスレッド同時処理でdirb/dirbusterよりはるかに高速
- 生のリクエストを使用した認証済みファジング - キャプチャしたHTTPリクエストによるJWTトークン、セッションCookie、CSRFトークンのサポート
- 包括的なテスト機能 - ディレクトリ/ファイル発見、サブドメイン列挙、パラメータファジング、APIエンドポイント、脆弱性テスト
- 高度なフィルタリングシステム - ステータスコード、サイズ、正規表現、行数でフィルタリング;ランタイム調整のためのインタラクティブモード
- ステルス機能 - 検出回避のためのレート制限とスレッド制御
- 結果保全 - プログラマティック分析とレポーティングのためのJSON出力形式
- 防御的セキュリティ重点 - 承認されたペネトレーションテスト、セキュリティリサーチ、責任ある開示のために設計
Related Skills
More from SecurityCodebase Auditor
Comprehensive codebase audit across 6 dimensions: architecture, code quality, security (OWASP Top 10), performance, testing coverage, and maintainability with prioritized action plan
Algorithmic Art
Creating algorithmic art using p5.js with seeded randomness and interactive parameter exploration
Artifacts Builder
Build complex claude.ai HTML artifacts using React, Tailwind CSS, and shadcn/ui components