Web Application Penetration Testing

POST

Parámetros

Arjun

arjun -u http://<target>/index.php -m <method>

-u = URL.
- <target> = objetivo.
-m = método.
- <method> = POST, JSON o XML.

FFuF

ffuf -u http://<target>/index.php -w <path-wordlist>:FUZZ -X POST -d "FUZZ=test" -H "Content-Type: application/x-www-form-urlencoded" -c -fc <code> -fs <size> -o ffuf-fuzzing-post-parameters.html -of html

-u = URL.
- <target> = objetivo.
-w = wordlist.
- <path-wordlist> = ruta de wordlist de parámetros (SecList).
-X = método HTTP a utilizar.
-d = datos método POST.
-H = HTTP headers.
-c = output con colores.
-fc <code> = filtra respuestas por el código especificado, por ejemplo: 301,404.
-fs <size> = filtra respuestas por el tamaño especificado.
-o = guarda resultado en archivo ffuf-fuzzing-post-parameters.html.

Valores

FFuF

ffuf -u http://<target>/index.php -w <path-wordlist>:FUZZ -X POST -d "user=admin\&password=FUZZ" -H "Content-Type: application/x-www-form-urlencoded" -c -fc <code> -fs <size> -o ffuf-fuzzing-post-parameters-values.html -of html

-u = URL.
- <target> = objetivo.
-w = wordlist.
- <path-wordlist> = ruta de wordlist (SecList).
-X = método HTTP a utilizar.
-d = datos método POST.
-H = HTTP headers.
-c = output con colores.
-fc <code> = filtra respuestas por el código especificado, por ejemplo: 301,404.
-fs <size> = filtra respuestas por el tamaño especificado.
-o = guarda resultado en archivo ffuf-fuzzing-post-parameters-values.html.

Wfuzz

wfuzz -c -z file,<path-wordlist> --hc <code> -d "user=admin&password=FUZZ" http://<target>/login.php

-c = output con colores.
-z = especifica el payload para cada palabra clave FUZZ utilizada.
- <path-wordlist> = ruta de wordlist (SecList).
--hc <code> = oculta respuestas por el código especificado, por ejemplo: 301,404.
-d = datos método POST.
- FUZZ = la palabra FUZZ será reemplazada con los valores de la wordlist.
<target> = objetivo.

AnteriorGET SiguienteWordlists

Última actualización hace 6 meses