🟢
Web Application Penetration Testing
  • Inicio
  • General
    • Metodologías y estándares
    • Aplicaciones vulnerables
  • Reconocimiento y recolección de información
    • Web Application Firewall (WAF)
    • Domain Name System (DNS)
    • Subdominios y Virtual Host (VHost)
    • SSL/TLS y algoritmos de cifrados
    • Certificados
    • Tecnologías web
  • Escaneo y enumeración
    • HTTP security headers
    • HTTP methods (verbs)
    • Crawling y spidering
    • Fuzzing
      • Directorios
      • Archivos
      • Extensiones
      • Parámetros
        • GET
        • POST
      • Wordlists
    • Compresión y ofuscación
    • Herramientas automatizadas
  • Explotación
    • API keys
    • Clickjacking
    • HTTP methods (verbs)
    • Input data validation
    • HTTP Host header
    • Autenticación y autorización
      • Cookie
      • JSON Web Token (JWT)
      • OAuth
      • SAML
    • Same-origin policy (SOP)
      • Cross-origin resource sharing (CORS)
    • Cross-site scripting (XSS)
    • Cross-site request forgery (CSRF)
    • File upload
    • Path traversal & file inclusion
    • Command injection
    • SQL injection (SQLi)
      • MySQL / MariaDB
      • Microsoft SQL Server
      • PostgreSQL
      • Oracle
      • sqlmap
    • NoSQL injection (NoSQLi)
    • XML external entity (XXE) injection
    • CRLF injection
    • XPath injection
    • LDAP injection
    • PDF injection
    • Server-side template injection (SSTI)
    • Server-side include (SSI) injection
    • Server-side parameter pollution
    • Server-side request forgery (SSRF)
    • Web cache poisoning
    • HTTP request smuggling
    • GraphQL
    • Open redirect
    • Content Management System (CMS)
      • WordPress
    • Flash
  • Checklist
    • Web application penetration testing
    • Web API penetration testing
Con tecnología de GitBook
En esta página
  • Parámetros
  • Arjun
  • FFuF
  • Wfuzz
  • Valores
  • FFuF
  • Wfuzz

¿Te fue útil?

  1. Escaneo y enumeración
  2. Fuzzing
  3. Parámetros

GET

Parámetros

Arjun

arjun -u http://<target>/index.php

FFuF

ffuf -u http://<target>/index.php?FUZZ=test -w <path-wordlist>:FUZZ -c -fc <code> -fs <size> -o ffuf-fuzzing-get-parameters.html -of html

  • -u = URL.

    • <target> = objetivo.

    • FUZZ = la palabra FUZZ será reemplazada con los valores de la wordlist.

  • -w = wordlist.

    • <path-wordlist> = ruta de wordlist de parámetros (SecList).

  • -c = output con colores.

  • -fc <code> = filtra respuestas por el código especificado, por ejemplo: 301,404.

  • -fs <size> = filtra respuestas por el tamaño especificado.

  • -o = guarda resultado en archivo ffuf-fuzzing-get-parameters.html.

Wfuzz

wfuzz -c -z file,<path-wordlist> --hc <code> http://<target>/index.php?FUZZ=test

  • -c = output con colores.

  • -z = especifica el payload para cada palabra clave FUZZ utilizada.

    • <path-wordlist> = ruta de wordlist de parámetros (SecList).

  • --hc <code> = oculta respuestas por el código especificado, por ejemplo: 404.

  • <target> = objetivo.

    • FUZZ = la palabra FUZZ será reemplazada con los valores de la wordlist.

Valores

FFuF

ffuf -u http://<target>/index.php?<parameter>=FUZZ -w <path-wordlist>:FUZZ -c -fc <code> -fs <size> -o ffuf-fuzzing-get-parameters-values.html -of html

  • -u = URL.

    • <target> = objetivo.

    • <parameter> = nombre del parámetro.

    • FUZZ = la palabra FUZZ será reemplazada con los valores de la wordlist.

  • -w = wordlist.

    • <path-wordlist> = ruta de wordlist de valores (SecList).

  • -c = output con colores.

  • -fc <code> = filtra respuestas por el código especificado, por ejemplo: 301,404.

  • -fs <size> = filtra respuestas por el tamaño especificado.

  • -o = guarda resultado en archivo ffuf-fuzzing-get-parameters-values.html.

Wfuzz

wfuzz -c -z file,<path-wordlist> --hc <code> http://<target>/index.php?<parameter>=FUZZ

  • -c = output con colores.

  • -z = especifica el payload para cada palabra clave FUZZ utilizada.

    • <path-wordlist> = ruta de wordlist de valores (SecList).

  • --hc <code> = oculta respuestas por el código especificado, por ejemplo: 301,404.

  • <target> = objetivo.

    • <parameter> = nombre del parámetro.

    • FUZZ = la palabra FUZZ será reemplazada con los valores de la wordlist.

AnteriorParámetrosSiguientePOST

Última actualización hace 1 año

¿Te fue útil?