一般社団法人 全国個人事業主支援協会

COLUMN コラム

はじめに

 

webアプリケーション診断を実施する際に、意図しないファイルやディレクトリがないかサクッとやりたい時があります。

そんな時、OWASP ZAPやBurp Suiteといった自動診断ツールを使う手もありますが、CLIでやるツール「Ffuf(FUZZ Faster U Fool)」が紹介されていましたので、使ってみた雑感を紹介いたします。

 

環境

Kali Linux 4.9.0 64bit版

 

やったこと

Ffufのクローン

githubからクローンします。

これはすぐに終わります。

 

Golangのインストール

FfufはGolangをベースに開発されているので、Golangをインストールする必要があります。

 

Ffufの実行

さっそく実行してみましょう。

オプションの-w はワードリスト、-uは攻撃対象のURLです。

くれぐれも、自身の管理するサイトや管理している環境に対して使って下さい。捕まります。

ワードリストは、KaliLinuxに付属のものを使用しています。

 

実行結果の確認

後はツールが勝手に実行してくれるので、終わるまで様子を見ましょう!

ネットワークの回線速度やサーバのレスポンス速度等様々な要件がありますが、今回は37秒で5000件くらい実行できました。

まとめ

Ffufというツールを使って簡単な意図しないファイルが公開されていないかの検査を行いました。

Webアプリ公開前に、テスト環境が残っていないか、余計な設定がされていないか確認するのに丁度いいと感じました。

The following two tabs change content below.

この記事をシェアする

  • Twitterでシェア
  • Facebookでシェア
  • LINEでシェア