F

FFUF 网络模糊测试

用于渗透测试中发现隐藏内容、目录、文件和漏洞的快速网络模糊测试工具

byjthack
Home/Security/FFUF 网络模糊测试

What is it?

使用 ffuf(Fuzz Faster U Fool)的专业指导,这是一个快速的网络模糊测试工具,专为在渗透测试期间发现隐藏内容、目录、文件、子域和测试漏洞而设计。比 dirb 或 dirbuster 等传统工具快得多,核心重点是自动校准,可大幅减少误报并使人类和 AI 更容易分析结果。

How to use it?

该技能强调最佳实践工作流程:

  1. 始终使用自动校准 - -ac 标志对于高效的渗透测试是必需的。它会自动检测和过滤重复的误报,消除动态网站的噪音,并适应目标的特定行为。

  2. 基本发现 - 从简单的目录模糊测试开始:

    ffuf -w wordlist.txt -u https://target.com/FUZZ -ac

  3. 身份验证模糊测试 - 对于复杂的身份验证,使用原始请求而不是命令行标志:

    • 从 Burp Suite 或 DevTools 捕获已验证的请求
    • 在所需位置使用 FUZZ 关键字保存到 req.txt
    • 运行: ffuf --request req.txt -w wordlist.txt -ac

  4. 高级场景 - 使用适当的过滤和速率限制进行子域枚举、参数模糊测试、API 端点发现和漏洞测试。

始终保存结果(-o results.json -of json)并使用速率限制以保持隐秘(-rate 2 -t 10)。

Key Features

  • 自动校准 (-ac 标志) - 自动过滤重复响应并适应目标行为
  • 高速模糊测试 - 多线程并发处理,比 dirb/dirbuster 快得多
  • 使用原始请求的身份验证模糊测试 - 通过捕获的 HTTP 请求支持 JWT 令牌、会话 cookie、CSRF 令牌
  • 全面的测试功能 - 目录/文件发现、子域枚举、参数模糊测试、API 端点、漏洞测试
  • 高级过滤系统 - 按状态码、大小、正则表达式、行数过滤;用于运行时调整的交互模式
  • 隐秘功能 - 用于避免检测的速率限制和线程控制
  • 结果保存 - 用于程序化分析和报告的 JSON 输出格式
  • 防御性安全重点 - 专为授权渗透测试、安全研究和负责任的披露而设计
View on GitHub

GitHub Stats

Stars
Forks
Last Update
Author
jthack
License
MIT
Version
1.0.0

Categories

Security
Developer Tools

Tags

security
fuzzing
penetration-testing
web-security
vulnerability-scanning

Features

💻 Code Execution

Related Skills

More from Security

Codebase Auditor

Comprehensive codebase audit across 6 dimensions: architecture, code quality, security (OWASP Top 10), performance, testing coverage, and maintainability with prioritized action plan

350mhattingpete
Developer Tools
Security

Algorithmic Art

Creating algorithmic art using p5.js with seeded randomness and interactive parameter exploration

5.3kAnthropic
Creative
Developer Tools

Artifacts Builder

Build complex claude.ai HTML artifacts using React, Tailwind CSS, and shadcn/ui components

5.3kAnthropic
Developer Tools