"Alcuni contenuti sui siti Web sono apparentemente nascosti, o cioè senza il loro indirizzo, non siamo in grado di accedervi. Spesso questi sono alcuni resti ancora dalla fase di sviluppo dell'applicazione – lo sviluppatore avrebbe dovuto rimuoverli in seguito, ma ha dimenticato ̄_(ツ)_/ ̄ ." – è una menzione di DIRB. Menzione, perché con me ha lasciato il posto a un nuovo strumento incredibilmente veloce – FFUF. Il principio di funzionamento è lo stesso: immettere l'URL e il dizionario e potrebbero essere disponibili alcuni file /directory che non dovrebbero essere disponibili. Con un po 'di fortuna, può anche accadere che si rilevi un qualche tipo di errore o comportamento insolito del server.
Un buon dizionario che uso me stesso può essere trovato qui– clicca , e FFUFa può essere scaricato dai creatori di githuba – clicca .
Richiede il lavoro del compilatore Golang installato. In Linux è possibile installarlo con il comando – apt ottenere installare golang . Ora possiamo installare il comando ffuf – vai get-u github.com/ffuf/ffuf.
Molto spesso uso questo strumento con flswitch, responsabile del filtraggio delle risposte del server contenenti un certo numero di righe. Questo per sbarazzarsi di false positivów, in altre parole, risposte generiche del server quando un determinato file / directory non esiste. L'opzione -w indica la posizione del dizionario e -all'indirizzo della pagina di test in cui la parola FUZZ deve essere inserita nella posizione appropriata. Il comando di esempio già pronto per eseguire lo strumento è simile al seguente:
./ffuf -w /root/starter.txt -u https://my127001.pl/FUZZ -fl 1
