What is it?
침투 테스트 중 숨겨진 콘텐츠, 디렉토리, 파일, 서브도메인을 발견하고 취약점을 테스트하기 위해 설계된 빠른 웹 퍼저인 ffuf(Fuzz Faster U Fool) 사용을 위한 전문 가이드입니다. dirb나 dirbuster와 같은 전통적인 도구보다 훨씬 빠르며, 자동 보정 기능에 중점을 두어 오탐을 대폭 줄이고 인간과 AI 모두가 결과 분석을 더 쉽게 할 수 있습니다.
How to use it?
이 스킬은 모범 사례 워크플로우를 강조합니다:
-
항상 자동 보정 사용 -
-ac플래그는 생산적인 침투 테스트를 위해 필수입니다. 반복적인 오탐을 자동으로 감지하고 필터링하며, 동적 웹사이트의 노이즈를 제거하고, 대상의 특정 동작에 적응합니다. -
기본 발견 - 간단한 디렉토리 퍼징으로 시작:
ffuf -w wordlist.txt -u https://target.com/FUZZ -ac -
인증된 퍼징 - 복잡한 인증의 경우 명령줄 플래그 대신 원시 요청 사용:
- Burp Suite 또는 DevTools에서 인증된 요청 캡처
- 원하는 위치에 FUZZ 키워드를 사용하여
req.txt에 저장 - 실행:
ffuf --request req.txt -w wordlist.txt -ac
-
고급 시나리오 - 적절한 필터링 및 속도 제한을 사용한 서브도메인 열거, 매개변수 퍼징, API 엔드포인트 발견 및 취약점 테스트.
항상 결과를 저장하고(-o results.json -of json) 은밀함을 위해 속도 제한을 사용하세요(-rate 2 -t 10).
Key Features
- 자동 보정 (-ac 플래그) - 반복적인 응답을 자동으로 필터링하고 대상 동작에 적응
- 고속 퍼징 - 멀티스레드 동시 처리로 dirb/dirbuster보다 훨씬 빠름
- 원시 요청을 사용한 인증된 퍼징 - 캡처한 HTTP 요청을 통해 JWT 토큰, 세션 쿠키, CSRF 토큰 지원
- 포괄적인 테스트 기능 - 디렉토리/파일 발견, 서브도메인 열거, 매개변수 퍼징, API 엔드포인트, 취약점 테스트
- 고급 필터링 시스템 - 상태 코드, 크기, 정규식, 줄 수로 필터링; 런타임 조정을 위한 대화형 모드
- 은밀 기능 - 탐지 회피를 위한 속도 제한 및 스레드 제어
- 결과 보존 - 프로그래밍 방식 분석 및 보고를 위한 JSON 출력 형식
- 방어적 보안 초점 - 승인된 침투 테스트, 보안 연구 및 책임 있는 공개를 위해 설계됨
Related Skills
More from SecurityCodebase Auditor
Comprehensive codebase audit across 6 dimensions: architecture, code quality, security (OWASP Top 10), performance, testing coverage, and maintainability with prioritized action plan
Algorithmic Art
Creating algorithmic art using p5.js with seeded randomness and interactive parameter exploration
Artifacts Builder
Build complex claude.ai HTML artifacts using React, Tailwind CSS, and shadcn/ui components