« Certains contenus sur les sites Web sont apparemment cachés, c’est-à-dire qu’en n’ayant pas leur adresse, nous ne sommes pas en mesure de les accéder. Souvent, il s’agit de résidus encore de l’étape de la création de l’application – le développeur devait les supprimer plus tard, mais il a oublié ̄_(ツ)_/ ̄ . Je vous le rappel, car il m’a cédé la place à un nouvel outil incroyablement rapide – FFUF. Le principe de fonctionnement est le même – entrez l’url et le dictionnaire, et peut-être vous trouverez des fichiers / répertoires qui ne devraient pas être disponibles. Avec un peu de chance, il peut également arriver que vous détectez une erreur ou un comportement inhabituel du serveur.
Un bon dictionnaire que j’utilise moi-même peut être trouvé ici – cliquez,et FFUFa peut être téléchargé à partir de créateurs githuba – cliquez.
Pour fonctionner, il nécessite un compilateur Golang installé. Sous Linux, vous pouvez l’installer avec la commande – apt get install golang . Maintenant, nous pouvons installer la commande FFUFa – aller obtenir -u github.com/ffuf/ffuf .
Le plus souvent, j’utilise cet outil avec le commutateur fl, chargé de filtrer les réponses du serveur contenant un certain nombre de lignes. Il s’agit de se débarrasser de faux positivs, ou autrement de répondre génériques au serveur lorsque le fichier/répertoire n’existe pas. Le commutateur -dans indique l’emplacement du dictionnaire et -à l’adresse de la page testée où insérer le mot FUZZ à l’endroit approprié . L’exemple de commande prêt à l’ordre pour exécuter l’outil ressemble ci-dessous:
./ffuf -w /root/starter.txt -u https://my127001.pl/FUZZ -fl 1