Web Fuzzing Techniques: Pag-master sa Ffuf ug ZAP
Pasiuna
Ang web fuzzing usa ka black-box software testing technique diin ang automated data ipadala ngadto sa usa ka target aron makit-an ang mga tubag nga mohaum sa piho nga criteria. Ang tumong mao ang pag-ila sa malformed o talagsaon nga mga tubag nga mahimong nagpaila sa mga kahuyangan. Ang fuzzing makatabang nimo sa pagpangita og mga bug sa madali pinaagi sa paggamit sa sistematiko ug automated nga pamaagi.
FFUF: Paspas nga Web Fuzzing Tool
Unsa ang FFUF?
Ang FFUF (Fuzz Faster U Fool) usa ka paspas nga web fuzzing tool nga gisulat sa Go programming language. Kini episyente kaayo ug mahimong ma-install sa macOS, Linux, ug bisan unsang device nga adunay Go compiler.
Pag-instalar sa FFUF:
– Sa Linux: `sudo apt install ffuf`
- Sa macOS: Gamita ang Go compiler aron ma-install.
Direktoryo nga Brute Force nga adunay FFUF:
Ang directory brute force naglakip sa pagdiskubre sa mga direktoryo sa usa ka website pinaagi sa pagsulay sa usa ka lista sa komon nga mga ngalan sa direktoryo. Ang mga website kanunay adunay mga direktoryo sama sa `/about-us`, `/login`, ug `/contact`. Gamit ang usa ka lista sa pulong sa kasagarang mga direktoryo, ang FFUF makahimo sa pagsulay niini nga awtomatiko ug ibalik ang mga resulta.
Pananglitan nga Sugo:
Sh ffuf -u http://ffuf.me/CD/basic/FUZZ -w /path/to/wordlist.txt
OWASP ZAP: Web Proxy ug Scanner
Unsa ang OWASP ZAP?
Ang OWASP ZAP (Zed Attack Proxy) usa ka open-source nga web application security scanner. Gigamit kini alang sa lainlaing mga buluhaton sa pagsulay sa aplikasyon sa web, lakip ang pag-fuzzing.
Paggamit sa ZAP alang sa Web Fuzzing:
- Pag-setup:
– Ilunsad ang ZAP ug sugdi ang imong browser pinaagi sa ZAP.
– Pag-navigate sa `http://demo.testfire.net`, usa ka demo site alang sa pagsulay sa seguridad.
- Pagpugong sa mga hangyo:
– Paghimo usa ka pagsulay sa pag-login nga adunay nahibal-an nga mga kredensyal (pananglitan, username: `admin`, password: `12345`).
- Gikuha sa ZAP ang hangyo ug gitugotan ka sa pagsusi niini.
- Pag-configure sa Fuzzing:
- I-highlight ang field sa password sa gi-intercept nga hangyo ug i-right-click aron mapili ang "Fuzz."
– Pag-load ug payload (listahan sa pulong) para sa fuzzing, sama sa `john.txt` para sa komon nga mga password.
- Pagsugod sa Pag-atake:
– Pagdalagan ang fuzzer, nga mosulay sa matag password gikan sa listahan ug mosusi sa mga tubag.
- Pag-analisar sa mga Resulta:
- Pagsunud sa mga tubag pinaagi sa mga code sa status, oras sa pagtubag, o gidak-on sa header aron makit-an ang mga anomaliya.
- Ilha ang husto nga password pinaagi sa pagtandi sa mga sumbanan sa pagtubag.
Pananglitan nga Scenario:
– Site: `http://demo.testfire.net`
– Username: `admin`
– Listahan sa Pulong sa Password: `john.txt`
– Gipaabot nga Kodigo sa Tubag: `200` para sa malampusong pag-login, `404` kay wala makit-an.
Panapos
Web fuzzing uban sa mga himan sama sa FFUF ug OWASP ZAP makapauswag pag-ayo sa imong pagsulay sa pagsulod ug bug bounty nga mga paningkamot. Pinaagi sa pag-automate sa proseso sa pagpadala sa datos ug pag-analisar sa mga tubag, dali nimong mailhan ang mga potensyal nga kahuyangan ug mapaayo ang seguridad sa mga aplikasyon sa web.
Hinungdan nga mga Hunahuna
– Etika ug Legalidad: Pagsulay lang sa mga website nga adunay klaro nga pagtugot.
- Episyente: Gamita ang mga may kalabotan nga lista sa pulong ug ipasibo ang mga setting alang sa labi ka epektibo nga pag-fuzzing.
Kini nga mga himan naghatag kusog nga mga kapabilidad sa pagdiskubre sa mga kahuyangan, ug uban ang responsable nga paggamit, makatabang kini kanimo nga masiguro nga epektibo ang mga aplikasyon sa web.
Dugang nga Pagkat-on:
- Tan-awa ang [dokumentasyon sa FFUF](https://github.com/ffuf/ffuf) para sa mas abante nga paggamit.
– I-explore ang [OWASP ZAP user guide](https://www.zaproxy.org/) para sa dugang nga feature ug techniques.
