Filebuster — довольно быстрый и гибкий Web Fuzzer

Довольно быстрый и гибкий Web Fuzzer: Filebuster

Filibuster был создан на основе одного из самых быстрых HTTP-классов в мире (PERL) — Furl :: HTTP. Также моделирование потоков немного оптимизировано для работы как можно быстрее.

Свойства

Он содержит массу свойств, таких как:

• Уже упомянутые шаблоны Regex;
• Поддержка HTTP/HTTPS/SOCKS proxy;
• Позволяет многократные списки слов, используя групповые;
• Расширения дополнительных файлов;
• Регулируемые таймауты и повторы;
• Регулируемые задержки / дросселирование;
• Скрыть результаты основанные на HTTP коде, длине или словах в заголовках (headers) или body;
• Поддержка пользовательских файлов cookie;
• Поддержка пользовательских заголовков;
• Поддержка нескольких версий протокола TLS;
• Автоматическое обнаружение TTY;
• Рекурсивное сканирование;
• Интегрированные списки слов.

Requisites

Требуется версия Perl 5.10 или более высокая.

Filibuster предоставляет множество функций сторонним библиотекам. Однако, их можно легко установить с помощью следующей команды:

# cpan install YAML Furl Switch Benchmark Cache::LRU Net::DNS::Lite List::MoreUtils IO::Socket::SSL URI::Escape HTML::Entities IO::Socket::Socks::Wrapper

Установка

Filibuster является Perl скриптом, поэтому установка не требуется. Тем не менее, лучший способ использования filebuster — создать ссылку на директорию, которая включена в путь. Например:

# ln -s /path/to/filebuster.pl /usr/local/bin/filebuster

Затем вы сможете использовать его в системе

Синтаксис

В самой базовой форме Filebuster можно запустить с помощью следующего синтаксиса:

# perl filebuster.pl -u https://yoursite.com/ -w /path/to/wordlist.txt

Если вы хотите заглушить окончательную часть URL-адреса, вам не нужно использовать тег {fuzz}, чтобы указать место ввода.

Более сложный пример:

# perl filebuster.pl -u https://yoursite.com/{fuzz}.jsp -w /path/to/wordlist.txt -t 3 -x http://127.0.0.1:8080 --hs "Error"

Это позволит вам создать веб-сайт с тремя потоками, чтобы найти страницы JSP, используя локальный прокси-сервер и скрывая все ответы с ошибкой в body.

Для получения полной справки по синтаксису с примерами просто запуститеfilebuster.pl —help.

Перевод: Анна Давыдова
Источник: n0where.net

Это интересно:

• [Web Application Pentesting] Аутентификация HTTP, Атаки на HTTP Basic Auth
• Crunch — генератор паролей: основы использования и практические примеры
• XSStrike-Fuzz and Bruteforce Parameters for XSS