Friday, July 10, 2026

Ffuf

Resumen de FFUF (Fuzz Faster U Fool) FFUF es una herramienta de fuzzing muy rápida utilizada en pentesting y bug bounty para descubrir recursos ocultos en aplicaciones web. Su función principal es enviar miles de solicitudes HTTP reemplazando una palabra clave (FUZZ) por una lista de palabras (wordlist). ¿Para qué sirve? Con FFUF puedes descubrir: Directorios ocultos (/admin, /backup, /api) Archivos (config.php, .env, robots.txt) Subdominios (dev.ejemplo.com, api.ejemplo.com) Parámetros GET y POST ocultos Encabezados HTTP personalizados APIs y endpoints no documentados Virtual Hosts (VHosts) Cómo funciona? FFUF toma una wordlist y sustituye la palabra FUZZ por cada entrada. Ejemplo: https://ejemplo.com/FUZZ Con una lista: admin login backup test Enviará solicitudes a: https://ejemplo.com/admin https://ejemplo.com/login https://ejemplo.com/backup https://ejemplo.com/test Después analiza las respuestas para mostrar cuáles existen o son interesantes. Características principales Muy rápido (multihilo). Compatible con HTTP y HTTPS. Soporta GET, POST, PUT, DELETE y otros métodos HTTP. Filtrado por: Código de estado (200, 403, 404...) Tamaño de respuesta Número de palabras Número de líneas Personalización de cabeceras HTTP. Uso de cookies. Autenticación. Soporte para proxys (por ejemplo, Caido o Burp Suite). Salida en JSON, HTML, CSV y otros formatos. Casos de uso Enumeración de directorios y archivos. Descubrimiento de endpoints de APIs. Enumeración de subdominios. Búsqueda de parámetros ocultos. Descubrimiento de Virtual Hosts. Automatización de pruebas de reconocimiento. Ventajas Muy rápido. Fácil de usar. Gran flexibilidad. Compatible con múltiples tipos de fuzzing. Muy utilizado por profesionales de bug bounty. Limitaciones Depende de una buena wordlist. Puede generar muchas solicitudes, por lo que debe usarse con autorización. Algunos sitios aplican limitación de velocidad o bloquean el tráfico automatizado. Herramientas relacionadas Gobuster: especializado en directorios, archivos, DNS y VHosts. Feroxbuster: destaca por su capacidad de exploración recursiva. Dirsearch: herramienta popular para descubrir directorios y archivos. Caido o Burp Suite: para interceptar y analizar el tráfico HTTP; pueden complementar el uso de FFUF durante un pentest. En resumen FFUF es una de las herramientas más completas y rápidas para el reconocimiento de aplicaciones web. Destaca por su velocidad, flexibilidad y capacidad para realizar distintos tipos de fuzzing, lo que la convierte en una opción muy popular entre profesionales de ciberseguridad, pentesters y participantes de programas de bug bounty cuando trabajan sobre sistemas para los que tienen autorización.

Ffuf

Resumen de FFUF (Fuzz Faster U Fool) FFUF es una herramienta de fuzzing muy rápida utilizada en pentesting y bug bounty para descubri...