1 、 Fuzz
是一种基于黑盒的自动化软件模糊测试技术 , 简单的说一种懒惰且暴力的技术融合了常见
的以及精心构建的数据文本进行网站、软件安全性测试。
2 、 Fuzz 的核心思想 :
口令 Fuzz( 弱口令 )
目录 Fuzz( 漏洞点 )
参数 Fuzz( 利用参数 )
PayloadFuzz(Bypass)
3 、 Fuzz 应用场景:
- 爆破用户口令
- 爆破敏感目录
- 爆破文件地址
- 爆破未知参数名
-Payload 测漏洞(绕过等也可以用)
在实战黑盒中,目标有很多没有显示或其他工具扫描不到的文件或目录等,我们就可以通
过大量的字典 Fuzz 找到的隐藏的文件进行测试。
4 、 Fuzz 项目:
https://github.com/fuzzdb-project/fuzzdb
https://github.com/TheKingOfDuck/fuzzDicts
https://github.com/danielmiessler/SecLists
#Fuzz 技术 - 用户口令 - 常规 & 模块 &JS 插件
https://github.com/c0ny1/jsEncrypter
https://github.com/whwlsfb/BurpCrypto
#Fuzz 技术 - 目录文件 - 目录探针 & 文件探针
#Fuzz 技术 - 未知参数名 - 文件参数 & 隐藏参数
#Fuzz 技术 - 构造参数值 - 漏洞攻击恶意 Payload
成功条件是正确与错误要有差异的