webアプリケーション診断を実施する際に、意図しないファイルやディレクトリがないかサクッとやりたい時があります。
そんな時、OWASP ZAPやBurp Suiteといった自動診断ツールを使う手もありますが、CLIでやるツール「Ffuf(FUZZ Faster U Fool)」が紹介されていましたので、使ってみた雑感を紹介いたします。
Kali Linux 4.9.0 64bit版
githubからクローンします。
これはすぐに終わります。
FfufはGolangをベースに開発されているので、Golangをインストールする必要があります。
さっそく実行してみましょう。
オプションの-w はワードリスト、-uは攻撃対象のURLです。
くれぐれも、自身の管理するサイトや管理している環境に対して使って下さい。捕まります。
ワードリストは、KaliLinuxに付属のものを使用しています。
後はツールが勝手に実行してくれるので、終わるまで様子を見ましょう!
ネットワークの回線速度やサーバのレスポンス速度等様々な要件がありますが、今回は37秒で5000件くらい実行できました。
Ffufというツールを使って簡単な意図しないファイルが公開されていないかの検査を行いました。
Webアプリ公開前に、テスト環境が残っていないか、余計な設定がされていないか確認するのに丁度いいと感じました。
入会申込
ログイン
