Web Application Penetration Testing

⌘Ctrlk

Directorios

FFuF

ffuf -u http://<target>/FUZZ -w <path-wordlist>:FUZZ -c -fc <code> -o ffuf-fuzzing-directories.html -of html

-u = URL.
- <target> = objetivo.
- FUZZ = la palabra FUZZ será reemplazada con los valores de la wordlist.
-w = wordlist.
- <path-wordlist> = ruta de wordlist de directorios (SecList).
-c = output con colores.
-fc <code> = filtra respuestas por el código especificado, por ejemplo: 404.
-o = guarda resultado en archivo ffuf-fuzzing-directories.html.

Gobuster

# General
gobuster dir -e -u http://<target>/ -w <path-wordlist> -o gobuster-fuzzing-directories.txt
# Omitir verificación de certificado SSL
gobuster dir -e -k -u https://<target>/ -w <path-wordlist> -o gobuster-fuzzing-directories.txt

-e = modo expandido, imprimir URL "completas".
-k = omitir verificación de certificado SSL.
-u = URL.
- <target> = objetivo.
-w = wordlist.
- <path-wordlist> = ruta de wordlist de directorios (SecList).
-o = guarda resultado en archivo gobuster-fuzzing-directories.txt.

Wfuzz

Incluir barra diagional "/" (slash) al final de la palabra FUZZ.

-c = output con colores.
-z = especifica el payload para cada palabra clave FUZZ utilizada.
- <path-wordlist> = ruta de wordlist de directorios (SecList).
--hc <code> = oculta respuestas por el código especificado, por ejemplo: 404.
<target> = objetivo.
- FUZZ = la palabra FUZZ será reemplazada con los valores de la wordlist.

AnteriorFuzzing SiguienteArchivos

Última actualización hace 2 años