Tank · Code Alliance Developers
Termux Arsenalby Tank · Code Alliance
arsenal
ffuf — ilustração
Web

ffuf

Fuzzing de URLs, parâmetros, headers e POST data com filtros poderosos e alta performance.

ffuf significa 'Fuzz Faster U Fool'. É um fuzzer ultrarrápido: você coloca a palavra FUZZ na URL onde quer testar valores, dá uma lista e ele testa milhares por segundo. Funciona para descobrir diretórios, parâmetros escondidos, valores válidos em formulários, etc.

repositório oficial ↗

Antes de instalar

Atualize os repositórios e libere o armazenamento do Termux:

$ pkg update && pkg upgrade -y
$ termux-setup-storage

Instalação

$ pkg install golang -y
$ go install github.com/ffuf/ffuf/v2@latest

Exemplo de uso

$ ffuf -u https://alvo.com/FUZZ -w wordlist.txt

Passo a passo

  1. 1

    Instale o Go.

    $ pkg install golang -y
  2. 2

    Instale o ffuf.

    $ go install github.com/ffuf/ffuf/v2@latest
  3. 3

    Brute force de diretórios (use FUZZ onde quer testar).

    $ ffuf -u https://alvo.com/FUZZ -w wordlist.txt
  4. 4

    Descubra parâmetros GET escondidos.

    $ ffuf -u 'https://alvo.com/page?FUZZ=valor' -w params.txt
  5. 5

    Filtre por tamanho de resposta para reduzir ruído.

    $ ffuf -u https://alvo.com/FUZZ -w wordlist.txt -fs 0

Prática segura · ffuf

→ guia do lab

Suba o alvo em Docker/VM antes de apontar ffuf. Nunca rode contra IP/domínio que não seja seu ou autorizado.

alvo sugerido · DVWA local (docker), Juice Shop, testphp.vulnweb.com ou PortSwigger Academy

Nunca aponte para alvo em produção. Se estiver no celular, use proot-distro + Debian para não sujar o Termux principal.

Relacionadas