Автоматизация эксплуатации слепой boolean-based SQL-инъекции при помощи WFUZZ
Недавно один человек мне задал вопрос: «А зачем нужен Burp Suite, если как фаззер он слабоват и тормознут и есть много других хороших инструментов, например, таких как wfuzz?» Я ответил, что если он сможет раскрутить при помощи того же wfuzz’а слепую sql-инъекцию, то это будет хороший материал для статьи. Потом я сам что-то заморочился этим вопросом и подумал: «А это вообще возможно»? И этот вопрос сподвиг меня на очередной творческий подвиг.
📌 Читать статью
#sql #injection #fuzzing
Недавно один человек мне задал вопрос: «А зачем нужен Burp Suite, если как фаззер он слабоват и тормознут и есть много других хороших инструментов, например, таких как wfuzz?» Я ответил, что если он сможет раскрутить при помощи того же wfuzz’а слепую sql-инъекцию, то это будет хороший материал для статьи. Потом я сам что-то заморочился этим вопросом и подумал: «А это вообще возможно»? И этот вопрос сподвиг меня на очередной творческий подвиг.
📌 Читать статью
#sql #injection #fuzzing
👍16🔥3❤1
Полезный фаззинг
В этой статье я хочу немного расширить диапазон задач, к которым можно приметить фаззинг. Это будет далеко не полный список, потому что он ограничивается только фантазией человека. Итак, приступим.
📌 Читать статью
#pentest #fuzzing
В этой статье я хочу немного расширить диапазон задач, к которым можно приметить фаззинг. Это будет далеко не полный список, потому что он ограничивается только фантазией человека. Итак, приступим.
📌 Читать статью
#pentest #fuzzing
👍7🔥7
Эффективный фаззинг (FEROXBUSTER)
Доброго времени суток, уважаемые форумчане! Сегодня познакомимся с замечательным инструментом для фаззинга – FEROXBUSTER. Прелесть инструмента в том, что он быстрый, красивый и постоянно поддерживаемый разработчиками. Он прекрасно решает возложенные на него задачи, обладает минимумом настроек и легок в изучении. Программа с открытым исходным кодом.
📌 Читать далее
#beginner #pentest #fuzzing
Доброго времени суток, уважаемые форумчане! Сегодня познакомимся с замечательным инструментом для фаззинга – FEROXBUSTER. Прелесть инструмента в том, что он быстрый, красивый и постоянно поддерживаемый разработчиками. Он прекрасно решает возложенные на него задачи, обладает минимумом настроек и легок в изучении. Программа с открытым исходным кодом.
📌 Читать далее
#beginner #pentest #fuzzing
🔥10👍3👎1
Автоматизация эксплуатации слепой boolean-based SQL-инъекции при помощи WFUZZ
Недавно один человек мне задал вопрос: «А зачем нужен Burp Suite, если как фаззер он слабоват и тормознут и есть много других хороших инструментов, например, таких как wfuzz?» Я ответил, что если он сможет раскрутить при помощи того же wfuzz’а слепую sql-инъекцию, то это будет хороший материал для статьи. Потом я сам что-то заморочился этим вопросом и подумал: «А это вообще возможно»? И этот вопрос сподвиг меня на очередной творческий подвиг.
📌 Читать статью
#sql #injection #fuzzing
Недавно один человек мне задал вопрос: «А зачем нужен Burp Suite, если как фаззер он слабоват и тормознут и есть много других хороших инструментов, например, таких как wfuzz?» Я ответил, что если он сможет раскрутить при помощи того же wfuzz’а слепую sql-инъекцию, то это будет хороший материал для статьи. Потом я сам что-то заморочился этим вопросом и подумал: «А это вообще возможно»? И этот вопрос сподвиг меня на очередной творческий подвиг.
📌 Читать статью
#sql #injection #fuzzing
🔥11❤3👍2
Пишем свой фаззер на Python
Привет, Codeby! Расскажу тебе о том, как написать простой фаззер на Python. Ты наверное хочешь спросить: зачем писать фаззер на Python, если уже есть wfuzz? Я тебе отвечу - мне нужна была возможность использовать http запросы, представленные в текстовом формате, которые были получены из Burp Suite, например, так умеет sqlmap с параметром -r, в котором передается путь до текстового файла c http запросом.
📌 Читать далее
#programming #python #fuzzing
Привет, Codeby! Расскажу тебе о том, как написать простой фаззер на Python. Ты наверное хочешь спросить: зачем писать фаззер на Python, если уже есть wfuzz? Я тебе отвечу - мне нужна была возможность использовать http запросы, представленные в текстовом формате, которые были получены из Burp Suite, например, так умеет sqlmap с параметром -r, в котором передается путь до текстового файла c http запросом.
📌 Читать далее
#programming #python #fuzzing
👍13🔥3😐1
Автоматизация эксплуатации слепой Time-based SQL-инъекции при помощи Burp Suite и WFUZZ
Привет, форумчане! Как показала практика, автоматизация извлечения данных из таблиц посредством Burp Suite и WFUZZ имеет право на жизнь, а моя писанина даже кому-то принесла пользу. Сегодня мы попробуем использовать эти же инструменты для эксплуатации Time-based SQL-инъекции.
📌 Читать далее
#sql #injection #fuzzing
Привет, форумчане! Как показала практика, автоматизация извлечения данных из таблиц посредством Burp Suite и WFUZZ имеет право на жизнь, а моя писанина даже кому-то принесла пользу. Сегодня мы попробуем использовать эти же инструменты для эксплуатации Time-based SQL-инъекции.
📌 Читать далее
#sql #injection #fuzzing
🔥12👍5❤1
Эффективный фаззинг (FEROXBUSTER)
Доброго времени суток, уважаемые форумчане! Сегодня познакомимся с замечательным инструментом для фаззинга – FEROXBUSTER. Прелесть инструмента в том, что он быстрый, красивый и постоянно поддерживаемый разработчиками. Он прекрасно решает возложенные на него задачи, обладает минимумом настроек и легок в изучении. Программа с открытым исходным кодом.
📌 Читать далее
#beginner #pentest #fuzzing
Доброго времени суток, уважаемые форумчане! Сегодня познакомимся с замечательным инструментом для фаззинга – FEROXBUSTER. Прелесть инструмента в том, что он быстрый, красивый и постоянно поддерживаемый разработчиками. Он прекрасно решает возложенные на него задачи, обладает минимумом настроек и легок в изучении. Программа с открытым исходным кодом.
📌 Читать далее
#beginner #pentest #fuzzing
🔥9👍5👎2🤣1🏆1
Проводим фаззинг библиотек
Добрый день, друзья!
Фаззинг - это отправка произвольных данных в программу с целью вызвать непредсказуемое поведение.
Ещё недавно, как я начал изучать веб хакинг, я счёл интересным занятие исследовать Linux и Windows на предмет бинарных уязвимостей.
📌 Читать далее
#fuzzing
Добрый день, друзья!
Фаззинг - это отправка произвольных данных в программу с целью вызвать непредсказуемое поведение.
Ещё недавно, как я начал изучать веб хакинг, я счёл интересным занятие исследовать Linux и Windows на предмет бинарных уязвимостей.
📌 Читать далее
#fuzzing
👍13🔥10👏3😍3
ParamSpider: Инструмент для извлечения URL из веб-архивов
👉 Основные функции
- Cбор ссылок из Wayback Machine для указанного домена
- Автоматическое исключение статических и неинтересных расширений (изображения, стили, скрипты)
- Поддержка сканирования нескольких доменов из файла
- Отображение URL в реальном времени
- Возможность работы через прокси-сервер
- Замена значений параметров для последующего фаззинга
⬇️ Установка
Проверка
⏺️ Поиск URL для одного домена
Результат сохраняется в файл results/example.com.txt
⏺️ Поиск URL для нескольких доменов из файла
Файл domains.txt должен содержать список доменов (по одному на строку)
⏺️ Потоковый вывод в терминал
URL отображаются в реальном времени без сохранения в файл
⏺️ Использование прокси
⏺️ Настройка плейсхолдера для параметров
Значение плейсхолдера используется для замены значений параметров, что удобно для последующего тестирования на XSS или другие инъекции
🔎 ParamSpider часто используется в комбинации с инструментами для:
- Фаззинга параметров (ffuf, wfuzz)
- Проверки доступности (httpx, httprobe)
- Сканирования уязвимостей (nuclei, dalfox)
- Анализа параметров (kxss, gf)
#ParamSpider #Fuzzing #WaybackMachine #pentest #tool
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
ParamSpider — утилита с открытым исходным кодом, предназначенная для извлечения URL-адресов, связанных с целевым доменом, из веб-архивов (Wayback Machine). Инструмент автоматически фильтрует «неинтересные» URL, позволяя исследователям безопасности сосредоточиться на потенциально значимых конечных точках для дальнейшего анализа, фаззинга и тестирования.
- Cбор ссылок из Wayback Machine для указанного домена
- Автоматическое исключение статических и неинтересных расширений (изображения, стили, скрипты)
- Поддержка сканирования нескольких доменов из файла
- Отображение URL в реальном времени
- Возможность работы через прокси-сервер
- Замена значений параметров для последующего фаззинга
sudo apt install paramspider
Проверка
paramspider -h
paramspider -d example.com
Результат сохраняется в файл results/example.com.txt
paramspider -l domains.txt
Файл domains.txt должен содержать список доменов (по одному на строку)
paramspider -d example.com -s
URL отображаются в реальном времени без сохранения в файл
paramspider -d example.com --proxy '127.0.0.1:7890'
paramspider -d example.com -p '"><h1>reflection</h1>'
Значение плейсхолдера используется для замены значений параметров, что удобно для последующего тестирования на XSS или другие инъекции
- Фаззинга параметров (ffuf, wfuzz)
- Проверки доступности (httpx, httprobe)
- Сканирования уязвимостей (nuclei, dalfox)
- Анализа параметров (kxss, gf)
#ParamSpider #Fuzzing #WaybackMachine #pentest #tool
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🔥7❤6