
ffuf
Fuzzing de URLs, parâmetros, headers e POST data com filtros poderosos e alta performance.
ffuf significa 'Fuzz Faster U Fool'. É um fuzzer ultrarrápido: você coloca a palavra FUZZ na URL onde quer testar valores, dá uma lista e ele testa milhares por segundo. Funciona para descobrir diretórios, parâmetros escondidos, valores válidos em formulários, etc.
repositório oficial ↗Antes de instalar
Atualize os repositórios e libere o armazenamento do Termux:
$ pkg update && pkg upgrade -y$ termux-setup-storageInstalação
$ pkg install golang -y$ go install github.com/ffuf/ffuf/v2@latestExemplo de uso
$ ffuf -u https://alvo.com/FUZZ -w wordlist.txtPasso a passo
- 1
Instale o Go.
$ pkg install golang -y - 2
Instale o ffuf.
$ go install github.com/ffuf/ffuf/v2@latest - 3
Brute force de diretórios (use FUZZ onde quer testar).
$ ffuf -u https://alvo.com/FUZZ -w wordlist.txt - 4
Descubra parâmetros GET escondidos.
$ ffuf -u 'https://alvo.com/page?FUZZ=valor' -w params.txt - 5
Filtre por tamanho de resposta para reduzir ruído.
$ ffuf -u https://alvo.com/FUZZ -w wordlist.txt -fs 0
Prática segura · ffuf
→ guia do labSuba o alvo em Docker/VM antes de apontar ffuf. Nunca rode contra IP/domínio que não seja seu ou autorizado.
alvo sugerido · DVWA local (docker), Juice Shop, testphp.vulnweb.com ou PortSwigger Academy
Nunca aponte para alvo em produção. Se estiver no celular, use proot-distro + Debian para não sujar o Termux principal.
