C’est-à-dire ? • On parle également de Directory Brute Forcing.
• Permet de connaître les ressources (répertoires, scripts,
etc…) disponibles sur un site web, même s’ils ne sont pas référencés.
• Wfuzz va tester tous les répertoires et fichiers les plus
communs et nous renvoyer la liste de ceux qui existent. Usage basique • wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.tx t http://127.0.0.1/FUZZ
• -c : option permettant une sortie avec couleurs
• -w : option permettant de spécifier un dictionnaire à utiliser Usage en mode verbeux • wfuzz –c -v –w /usr/share/wfuzz/wordlist/general/common.tx t http://127.0.0.1/FUZZ
• -c : option permettant une sortie avec couleurs
• -w : option permettant de spécifier un dictionnaire à utiliser • -v : option permettant d’activer le mode verbeux Exemple d’utilisation • wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.tx t --hc 400,404,403 http://127.0.0.1/FUZZ
• -c : option permettant une sortie avec couleurs
• -w : option permettant de spécifier un dictionnaire à utiliser • -hc 400, 404, 403 : masquer les tentatives renvoyant les codes erreurs 400, 404, et 403 Exemple d’utilisation (2) • wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.tx t --hc 400,404,403 http://127.0.0.1/FUZZ/FUZZ.php
• -c : option permettant une sortie avec couleurs
• -w : option permettant de spécifier un dictionnaire à utiliser • -hc 400, 404, 403 : masquer les tentatives renvoyant les codes erreurs 400, 404, et 403 Exemple plusieurs paramètres • wfuzz -c -z file,common.txt –z file,extensions_common.txt http://127.0.0.1/FUZZFUZ2Z
• -c : option permettant une sortie avec couleurs
• -z : option permettant de spécifier un fichier à utiliser