Friday, July 10, 2026
Ffuf
Resumen de FFUF (Fuzz Faster U Fool)
FFUF es una herramienta de fuzzing muy rápida utilizada en pentesting y bug bounty para descubrir recursos ocultos en aplicaciones web. Su función principal es enviar miles de solicitudes HTTP reemplazando una palabra clave (FUZZ) por una lista de palabras (wordlist).
¿Para qué sirve?
Con FFUF puedes descubrir:
Directorios ocultos (/admin, /backup, /api)
Archivos (config.php, .env, robots.txt)
Subdominios (dev.ejemplo.com, api.ejemplo.com)
Parámetros GET y POST ocultos
Encabezados HTTP personalizados
APIs y endpoints no documentados
Virtual Hosts (VHosts)
Cómo funciona?
FFUF toma una wordlist y sustituye la palabra FUZZ por cada entrada.
Ejemplo:
https://ejemplo.com/FUZZ
Con una lista:
admin
login
backup
test
Enviará solicitudes a:
https://ejemplo.com/admin
https://ejemplo.com/login
https://ejemplo.com/backup
https://ejemplo.com/test
Después analiza las respuestas para mostrar cuáles existen o son interesantes.
Características principales
Muy rápido (multihilo).
Compatible con HTTP y HTTPS.
Soporta GET, POST, PUT, DELETE y otros métodos HTTP.
Filtrado por:
Código de estado (200, 403, 404...)
Tamaño de respuesta
Número de palabras
Número de líneas
Personalización de cabeceras HTTP.
Uso de cookies.
Autenticación.
Soporte para proxys (por ejemplo, Caido o Burp Suite).
Salida en JSON, HTML, CSV y otros formatos.
Casos de uso
Enumeración de directorios y archivos.
Descubrimiento de endpoints de APIs.
Enumeración de subdominios.
Búsqueda de parámetros ocultos.
Descubrimiento de Virtual Hosts.
Automatización de pruebas de reconocimiento.
Ventajas
Muy rápido.
Fácil de usar.
Gran flexibilidad.
Compatible con múltiples tipos de fuzzing.
Muy utilizado por profesionales de bug bounty.
Limitaciones
Depende de una buena wordlist.
Puede generar muchas solicitudes, por lo que debe usarse con autorización.
Algunos sitios aplican limitación de velocidad o bloquean el tráfico automatizado.
Herramientas relacionadas
Gobuster: especializado en directorios, archivos, DNS y VHosts.
Feroxbuster: destaca por su capacidad de exploración recursiva.
Dirsearch: herramienta popular para descubrir directorios y archivos.
Caido o Burp Suite: para interceptar y analizar el tráfico HTTP; pueden complementar el uso de FFUF durante un pentest.
En resumen
FFUF es una de las herramientas más completas y rápidas para el reconocimiento de aplicaciones web. Destaca por su velocidad, flexibilidad y capacidad para realizar distintos tipos de fuzzing, lo que la convierte en una opción muy popular entre profesionales de ciberseguridad, pentesters y participantes de programas de bug bounty cuando trabajan sobre sistemas para los que tienen autorización.
Subscribe to:
Posts (Atom)
Ffuf
Resumen de FFUF (Fuzz Faster U Fool) FFUF es una herramienta de fuzzing muy rápida utilizada en pentesting y bug bounty para descubri...