#ffuf — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #ffuf, aggregated by home.social.
-
Кастомные вордлисты для самых маленьких
Ни для кого не секрет, что качественные вордлисты - это ключ к эффективному фаззингу и, как следствие, большему покрытию скоупа и хорошим файндингам во время пентеста и баг-баунти. Однако вордлисты в общем доступе далеко не всегда дадут достаточное покрытие, какими бы большими они ни были. У веб-приложения может быть свой специфический нейминг путей и параметров. Некоторые ручки могут находиться на внескоуповых доменах и дублироваться на скоуповых, иногда даже с измененной функциональностью. Часть параметров и вовсе не удастся найти без ручного анализа JavaScript-кода приложения. Здесь в игру вступают кастомные вордлисты, закрывающие все вышеперечисленные нюансы. Благодаря ним можно значительно эффективнее проводить фаззинг путей веб-приложения, а также брутить параметры его запросов. Эта статья - первая из цикла про кастомные словари, рассказывающая про сбор базового вордлиста без особых усилий. В следующей статье я расскажу про создание более комплексного кастомного вордлиста, требующего больших затрат по времени.
https://habr.com/ru/companies/deiteriylab/articles/1029012/
#информационная_безопасность #пентест #фаззинг #багбаунти #безопасность_вебприложений #burp_suite #ffuf #recon #api_testing
-
Кастомные вордлисты для самых маленьких
Ни для кого не секрет, что качественные вордлисты - это ключ к эффективному фаззингу и, как следствие, большему покрытию скоупа и хорошим файндингам во время пентеста и баг-баунти. Однако вордлисты в общем доступе далеко не всегда дадут достаточное покрытие, какими бы большими они ни были. У веб-приложения может быть свой специфический нейминг путей и параметров. Некоторые ручки могут находиться на внескоуповых доменах и дублироваться на скоуповых, иногда даже с измененной функциональностью. Часть параметров и вовсе не удастся найти без ручного анализа JavaScript-кода приложения. Здесь в игру вступают кастомные вордлисты, закрывающие все вышеперечисленные нюансы. Благодаря ним можно значительно эффективнее проводить фаззинг путей веб-приложения, а также брутить параметры его запросов. Эта статья - первая из цикла про кастомные словари, рассказывающая про сбор базового вордлиста без особых усилий. В следующей статье я расскажу про создание более комплексного кастомного вордлиста, требующего больших затрат по времени.
https://habr.com/ru/companies/deiteriylab/articles/1029012/
#информационная_безопасность #пентест #фаззинг #багбаунти #безопасность_вебприложений #burp_suite #ffuf #recon #api_testing
-
Кастомные вордлисты для самых маленьких
Ни для кого не секрет, что качественные вордлисты - это ключ к эффективному фаззингу и, как следствие, большему покрытию скоупа и хорошим файндингам во время пентеста и баг-баунти. Однако вордлисты в общем доступе далеко не всегда дадут достаточное покрытие, какими бы большими они ни были. У веб-приложения может быть свой специфический нейминг путей и параметров. Некоторые ручки могут находиться на внескоуповых доменах и дублироваться на скоуповых, иногда даже с измененной функциональностью. Часть параметров и вовсе не удастся найти без ручного анализа JavaScript-кода приложения. Здесь в игру вступают кастомные вордлисты, закрывающие все вышеперечисленные нюансы. Благодаря ним можно значительно эффективнее проводить фаззинг путей веб-приложения, а также брутить параметры его запросов. Эта статья - первая из цикла про кастомные словари, рассказывающая про сбор базового вордлиста без особых усилий. В следующей статье я расскажу про создание более комплексного кастомного вордлиста, требующего больших затрат по времени.
https://habr.com/ru/companies/deiteriylab/articles/1029012/
#информационная_безопасность #пентест #фаззинг #багбаунти #безопасность_вебприложений #burp_suite #ffuf #recon #api_testing
-
Кастомные вордлисты для самых маленьких
Ни для кого не секрет, что качественные вордлисты - это ключ к эффективному фаззингу и, как следствие, большему покрытию скоупа и хорошим файндингам во время пентеста и баг-баунти. Однако вордлисты в общем доступе далеко не всегда дадут достаточное покрытие, какими бы большими они ни были. У веб-приложения может быть свой специфический нейминг путей и параметров. Некоторые ручки могут находиться на внескоуповых доменах и дублироваться на скоуповых, иногда даже с измененной функциональностью. Часть параметров и вовсе не удастся найти без ручного анализа JavaScript-кода приложения. Здесь в игру вступают кастомные вордлисты, закрывающие все вышеперечисленные нюансы. Благодаря ним можно значительно эффективнее проводить фаззинг путей веб-приложения, а также брутить параметры его запросов. Эта статья - первая из цикла про кастомные словари, рассказывающая про сбор базового вордлиста без особых усилий. В следующей статье я расскажу про создание более комплексного кастомного вордлиста, требующего больших затрат по времени.
https://habr.com/ru/companies/deiteriylab/articles/1029012/
#информационная_безопасность #пентест #фаззинг #багбаунти #безопасность_вебприложений #burp_suite #ffuf #recon #api_testing
-
Sequence [TryHackMe] [Writeup]
Room Info Name: Sequence Platform: TryHackMe Difficulty: Medium Link: https://tryhackme.com/room/sequence Description: Chain multiple vulnerabilities to take control of a system. Task 1: Challenge Robert made some last-minute updates to the review.thm website before heading off on vacation. He claims that the secret information of the financiers is fully protected. But are his defenses truly airtight? Your challenge is to exploit the vulnerabilities and gain complete control of the […]https://aredopseagle.wordpress.com/2026/03/15/sequence-tryhackme-writeup/
-
Fell into a bit of a rabbit hole today and went from "I wonder if I still know how to use #ffuf, let's see if I can build a command to check for a specific issue I encountered recently" to submitting my first six #BugBounty reports, with another three in the pipeline once HackerOne lets me submit again (I seem to be limited to a single open report right now?).
It's also a trial balloon for me - if something comes of this, I may start refining this and building more detections. If they all get closed without a bounty or even a thank-you, I may move on to other stuff. Based on what I heard from other people, I’m not getting my hopes up, but am open to being pleasantly surprised.
-
In this week's Linux Update newsletter, Chris Binnie looks at the enumeration tools feroxbuster and ffuf for automating search during a cyberattack
https://www.linux-magazine.com/Issues/2025/290/Enumerating-Resources
#security #tools #feroxbuster #ffuf #enumeration #cyberattack #automation #fuzzing -
In this week's Linux Update newsletter, Chris Binnie looks at the enumeration tools feroxbuster and ffuf for automating search during a cyberattack
https://www.linux-magazine.com/Issues/2025/290/Enumerating-Resources
#security #tools #feroxbuster #ffuf #enumeration #cyberattack #automation #fuzzing -
In this week's Linux Update newsletter, Chris Binnie looks at the enumeration tools feroxbuster and ffuf for automating search during a cyberattack
https://www.linux-magazine.com/Issues/2025/290/Enumerating-Resources
#security #tools #feroxbuster #ffuf #enumeration #cyberattack #automation #fuzzing -
In this week's Linux Update newsletter, Chris Binnie looks at the enumeration tools feroxbuster and ffuf for automating search during a cyberattack
https://www.linux-magazine.com/Issues/2025/290/Enumerating-Resources
#security #tools #feroxbuster #ffuf #enumeration #cyberattack #automation #fuzzing -
In this week's Linux Update newsletter, Chris Binnie looks at the enumeration tools feroxbuster and ffuf for automating search during a cyberattack
https://www.linux-magazine.com/Issues/2025/290/Enumerating-Resources
#security #tools #feroxbuster #ffuf #enumeration #cyberattack #automation #fuzzing -
ffufai is an #AI-powered wrapper for the popular web fuzzer #ffuf. It automatically suggests file extensions for fuzzing based on the target URL and its headers, using either OpenAI's GPT or Anthropic's Claude AI models.
-
Исследование веб-приложений с помощью утилиты Ffuf
В сфере информационной безопасности и тестирования веб-приложений каждая малейшая уязвимость может привести к серьезным последствиям. Надежным помощником в обнаружении скрытых угроз и проведения глубокого анализа безопасности веб-систем может стать утилита Ffuf. Разбираемся с фаззингом с Ffuf и исследуем несколько ключевых методов его применения.
https://habr.com/ru/companies/skillfactory/articles/810293/
#безопасность_вебприложений #информационная_безопасность #фаззинг #безопасность_сайтов #фаззингтестирование #Ffuf #команды_Ffuf #защита_сайта
-
Исследование веб-приложений с помощью утилиты Ffuf
В сфере информационной безопасности и тестирования веб-приложений каждая малейшая уязвимость может привести к серьезным последствиям. Надежным помощником в обнаружении скрытых угроз и проведения глубокого анализа безопасности веб-систем может стать утилита Ffuf. Разбираемся с фаззингом с Ffuf и исследуем несколько ключевых методов его применения.
https://habr.com/ru/companies/skillfactory/articles/810293/
#безопасность_вебприложений #информационная_безопасность #фаззинг #безопасность_сайтов #фаззингтестирование #Ffuf #команды_Ffuf #защита_сайта
-
Исследование веб-приложений с помощью утилиты Ffuf
В сфере информационной безопасности и тестирования веб-приложений каждая малейшая уязвимость может привести к серьезным последствиям. Надежным помощником в обнаружении скрытых угроз и проведения глубокого анализа безопасности веб-систем может стать утилита Ffuf. Разбираемся с фаззингом с Ffuf и исследуем несколько ключевых методов его применения.
https://habr.com/ru/companies/skillfactory/articles/810293/
#безопасность_вебприложений #информационная_безопасность #фаззинг #безопасность_сайтов #фаззингтестирование #Ffuf #команды_Ffuf #защита_сайта
-
Intro to https://github.com/ffuf/ffuf from the author @joohoi at #helsec 5 year anniversary Meetup.
-
#BurpSuite - #Repeater ✅
Burp Suite - #Intruder 🔧Intruder...auch ein geiles Teil, wobei man ja leider bei der Community Edition von Burp nur eine begrenzte Anzahl an Fragen zur Verfügung hat...aber es gibt ja dafür alternative Comandline-Tools wie #ffuf und co.
Morgen kommt dann einiges an praktischen Übungen diesbezüglich auf mich zu. Ich hoffe, ja dass ich da ganz gut alleine durchkomme. 👀 💪
[15🔥] #tryhackme
-
Anyone other #infosec peeps always reading “ffuf” as “eff off”? No? Just me then 😬
-
If you were annoyed by the recent multi-lines output bug in #ffuf in your #pentests and #bugbounty engagements, I've just fixed it: https://github.com/ffuf/ffuf/pull/656
It's not yet merged, but in the meantime you can apply the patch locally and recompile ffuf if needed! 🤗
-
Have you ever wanted to run FFUF or some other tool over proxychains and found that it just did not work?
Try setting up a proxy in a proxy as follows:# Setup Dynamic Port Forwarding
sudo ssh -p 22 -N -D 127.0.0.1:9052 user@target -o "UserKnownHostsFile=/dev/null"# ensure Proxychains points to our Port
# (verify Proxy DNS requirements and adjust on/off)
# socks5 127.0.0.1 9052
sudo vi /etc/proxychains4.conf# Install Proxy.py https://pypi.org/project/proxy.py/
pip install proxy.py# Run proxy.py over proxychains
$ proxychains proxy
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.16
2023-02-04 16:39:14,593 - pid:199836 [I] plugins.load:85 - Loaded plugin proxy.http.proxy.HttpProxyPlugin
2023-02-04 16:39:14,594 - pid:199836 [I] tcp.listen:80 - Listening on 127.0.0.1:8899
2023-02-04 16:39:14,604 - pid:199836 [I] pool.setup:105 - Started 2 acceptors in threadless (local) mode# Use FFUF over proxy.py over proxychains
$ ffuf -x http://127.0.0.1:8899 -w /usr/share/wordlists/rockyou.txt -u http://localhost/login.php -X POST -H "Cookie: test_cookie=Cookie+check" -H "Content-Type: application/x-www-form-urlencoded" -d "log=admin&pwd=FUZZ"
-
✨ ffuf(Fuzz Faster U Fool)
▶️Fest web fuzzer written in Go that allows typical directory discovery, virtual host discovery (without DNS records) and GET and POST parameter fuzzing
GitHub link:
https://github.com/ffuf/ffuf▶️ Resources
👉 Comprehensive Guide on ffuf
https://www.hackingarticles.in/comprehensive-guide-on-ffuf/👉 How to Fuzz Web Applications using FFuf – Web Security Tutorial
https://www.freecodecamp.org/news/web-security-fuzz-web-applications-using-ffuf/
👉Top 25 Example Usage of ffuf Web Fuzzer
https://allabouttesting.org/top-25-example-usage-of-ffuf-web-fuzzer/👉 HOW TO FIND ZERO-DAY VULNERABILITIES WITH ffuf
https://www.securitynewspaper.com/2022/06/11/how-to-find-zero-day-vulnerabilities-with-fuzz-faster-u-fool-ffuf-detailed-free-fuzzing-tool-tutorial/#infosec #ffuf #pentesting #bugbounty #bugbountytip #redteamtip #zeroday #kalilinux
-
Just published part 3 of my blog series on #Java #Spring Actuators - today, I'm discussing how to find exposed Actuators using dynamic testing with my favorite swiss army knife for web security tests: ffuf.
If you missed the previous articles or don't know what I am talking about: In part 1, I discuss why Spring Actuators can be dangerous if you inadvertently expose them to the internet (https://blog.maass.xyz/spring-actuator-security-part-1-stealing-secrets-using-spring-actuators), and in part 2 I show you how to use #semgrep to analyze your code for common misconfigurations related to them (https://blog.maass.xyz/spring-actuator-security-part-2-finding-actuators-using-static-code-analysis-with-semgrep). This third article rounds out the attacker side with a look at dynamic testing using #ffuf. Now, on to writing a final article from the perspective of the defender.
-
#ffuf - Fuzz Faster U Fool on multiple hosts
for i in
cat urls.txt; do ffuf -u $i/FUZZ -w wordlist.txt -mc 200,302,401 -se ;donePro Tip: If you are not finding any valid endpoints, try within a discovered path adding ..;/ to the url.
ie http://site.tld/somedir/..;/FUZZ
#bypass #payloads https://github.com/aufzayed/bugbounty/blob/main/403-bypass/403_url_payloads.txt