¿Qué es Ffuf?

Contenido del Bootcamp Dirigido por: | Última modificación: 29 de julio de 2024 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

¿Sabes qué es Ffuf? Al hacer una auditoría de ciberseguridad para una aplicación web, uno de los protocolos habituales implica usar un tipo de herramientas llamado web fuzzer.


Un web fuzzer es un programa que sirve para identificar las rutas activas en un sitio web. Es decir, que encuentra las direcciones URL de la página que están online y se pueden visitar. En este post, te hablaremos acerca de una de estas herramientas y cómo se pueden utilizar en ciberseguridad. A continuación, te explicaremos qué es Fuff.

¿Qué es Ffuf?

Existen diferentes tipos de fuzzing y también varias opciones de web fuzzers. Uno que se ha comenzado a convertir en el estándar del campo de la ciberseguridad es Ffuf.

Ffuf es un web fuzzer que prueba diferentes combinaciones de direcciones URL de un dominio para identificar qué rutas están activas y cuáles no. Con el fin de hacer este test, Ffuf utiliza listas de palabras predeterminadas que el usuario puede modificar, diseñar o conseguir por su propia cuenta. De este modo, se puede ir a visitar cada uno de los sitios que identifique Ffuf y verificar si existen fallos allí, con el propósito de reportarlos o arreglarlos.

Las vulnerabilidades o fallos de seguridad que se pueden encontrar en una dirección URL activa podrían comprometer el funcionamiento e, incluso, la existencia de una aplicación web. Es común que haya descuidos en la ciberseguridad de estas aplicaciones, debido a que muchas veces las compañías aún no invierten lo suficiente en este campo. Por eso, el web fuzzing es uno de los principales protocolos para reunir información sobre fallos en un sistema.

Otras herramientas

Ya hemos visto qué es Ffuf, pero existen muchas otras herramientas para poner a prueba la seguridad de una aplicación web. Existen otros métodos para encontrar rutas activas, como Google hacking o Google dorks, así como hay más web fuzzers que funcionan similarmente a Ffuf. A continuación, nos centramos en esas alternativas.

Google dorks

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Los términos Google dorks o Google hacking se refieren a la posibilidad de encontrar vulnerabilidades informáticas en sitios web indexados, por medio de comandos de búsqueda avanzados en Google/Bing y cualquier buscador. Esto se puede lograr debido a que existe mucha información indexada por error en la web y, si utilizas los operadores de búsqueda adecuados, podrías encontrarla.

Sin embargo, los web fuzzers sirven para encontrar más direcciones URL que, quizás, no encontrarás con Google hacking.

Dirb

Dirb es un web fuzzer que viene instalado por defecto en Kali Linux, pero también puedes encontrar su código abierto en GitHub. Dirb tiene listados de palabras muy completos y que han sido probados en casos exitosos de fuzzing. Es bueno contar con estos listados en tu ordenador, pues otros fuzzers, como Ffuf, pueden utilizarlos para hacer sus análisis.

De hecho, Ffuf se ha convertido en una alternativa preferida frente a Dirb. Ffuf funciona mucho más rápido, ya que se desarrolló con el lenguaje de programación Go, que es más veloz que el de Dirb, que fue escrito en Python.

American Fuzzy Lop

Este fuzzer, que lleva el mismo nombre que un conejo doméstico, es una herramienta desarrollada por Google y que sirve también para otros tipos de fuzzing. Su desventaja es que, al haber sido construido por Google, cada vez es más difícil hallar fallos con sus listados de palabras, que las han probado por doquier.

Fuzzing

Ahora sabes qué es Ffuf, el web fuzzer que se está comenzando a popularizar más en el mundo de la ciberseguridad. No obstante, el web fuzzing no es el único tipo de fuzzing que existe. Esta práctica también se puede aplicar para poner a prueba cualquier software.

El fuzzing consiste en la prueba automatizada de términos aleatorios, errados o inesperados en las entradas de un sistema. De este modo, se pueden encontrar fallos de seguridad que podrían ser explotados por terceros. Algunos hackers de sombrero negro pueden encontrarlos y desarrollar exploits para aprovecharse de ellos.

Los hackers éticos utilizan el fuzzing para hallar vulnerabilidades y desarrollar los parches para corregirlas o reportarlas.

Ya has aprendido qué es Ffuf, para qué se usa y qué herramientas similares existen. Si quieres continuar aprendiendo hasta convertirte en un especialista en ciberseguridad, accede a nuestro Bootcamp Ciberseguridad Full Stack y transfórmate en un experto en menos de 7 meses. ¿A qué esperas? ¡Inscríbete ya!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado