"Algunos contenidos de los sitios web están aparentemente ocultos, es decir, sin su dirección, no podemos acceder a él. A menudo, estos son algunos restos aún de la etapa de desarrollo de aplicaciones- se suponía que el desarrollador debía eliminarlos más tarde, pero olvidó ̄_(ツ)_/ ̄ ." – es una mención de DIRB. Mención, porque conmigo dio paso a una nueva herramienta, increíblemente rápida – FFUF. El principio de funcionamiento es el mismo : ingrese la url y el diccionario, y es posible que encuentre algunos archivos / directorios que no deberían estar disponibles. Con un poco de suerte, también puede suceder que detecte algún tipo de error o comportamiento inusual del servidor.
Un buen diccionario que yo mismo uso se puede encontrar aquí– haga clic , y FFUFa se puede descargar de los creadores de githuba – haga clic en .
Requiere el compilador Golang instalado para funcionar. Bajo Linux puedes instalarlo con el comando – apt get install golang . Ahora podemos instalar el comando ffuf – go get-u github.com/ffuf/ffuf.
La mayoría de las veces utilizo esta herramienta con flswitch, responsable de filtrar las respuestas del servidor que contienen un cierto número de líneas. Esto es para deshacerse de la falsa positivów, en otras palabras, las respuestas genéricas del servidor cuando un determinado archivo / directorio no existe. El modificador -w indica la ubicación del diccionario y -at la dirección de la página de prueba donde se debe insertar la palabra FUZZ en la ubicación adecuada. El comando de ejemplo listo para ejecutar la herramienta tiene el siguiente aspecto:
./ffuf -w /root/starter.txt -u https://my127001.pl/FUZZ -fl 1