Bruteforcing diretório de aplicações webs

wfuzz é uma ferramenta de bruteforcing de aplicações web, usada para encontrar diretórios, scripts, etc. usando os parâmetros GET e POST para diferentes tipos de injeções tais como SQL, XSS, LDAP, etc, e claro que temos outras escolhas tais : DirBuster, dirb, o nikto e alguns scripts NSE do nmap se a aplicação estiver sensível e vulnerável eles mostraram.

wfuzz – wordlist
Imagem

–script=http-enum
Imagem

Existem outras ferramentas, mas essas são as mais conhecidas e que utilizo :D

“Você, eu, nem ninguém vai bater tão duro como a vida. Mas não se trata de bater duro. Se trata de quanto você aguenta apanhar e seguir em frente (…). É assim que se consegue vencer.” by Rocky Balboa
https://github.com/gjuniioor
Bom pontuar que tem outras ferramentas, como o DirBuster, mas ter algo mais leve, CLI, e apenas para isso, é mais interessante.

Vlw a recomendação! Assim que puder, vou testar aqui hehe

Ao menos o mecanismo que ela usa parece ser bacana. Algumas alternativas que vi para esse fim, sequer analisava robot.txt.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s