1 、 Fuzz
是一種基于黑盒的自動化軟件模糊測試技術 , 簡單的說一種懶惰且暴力的技術融合了常見
的以及精心構建的數據文本進行網站、軟件安全性測試。
2 、 Fuzz 的核心思想 :
口令 Fuzz( 弱口令 )
目錄 Fuzz( 漏洞點 )
參數 Fuzz( 利用參數 )
PayloadFuzz(Bypass)
3 、 Fuzz 應用場景:
- 爆破用戶口令
- 爆破敏感目錄
- 爆破文件地址
- 爆破未知參數名
-Payload 測漏洞(繞過等也可以用)
在實戰黑盒中,目標有很多沒有顯示或其他工具掃描不到的文件或目錄等,我們就可以通
過大量的字典 Fuzz 找到的隱藏的文件進行測試。
4 、 Fuzz 項目:
https://github.com/fuzzdb-project/fuzzdb
https://github.com/TheKingOfDuck/fuzzDicts
https://github.com/danielmiessler/SecLists
#Fuzz 技術 - 用戶口令 - 常規 & 模塊 &JS 插件
https://github.com/c0ny1/jsEncrypter
https://github.com/whwlsfb/BurpCrypto
#Fuzz 技術 - 目錄文件 - 目錄探針 & 文件探針
#Fuzz 技術 - 未知參數名 - 文件參數 & 隱藏參數
#Fuzz 技術 - 構造參數值 - 漏洞攻擊惡意 Payload
成功條件是正確與錯誤要有差異的
)
學習)
)
