¿Sabes qué es Ffuf? Al hacer una auditoría de ciberseguridad para una aplicación web, uno de los protocolos habituales implica usar un tipo de herramientas llamado web fuzzer. Un web fuzzer es un programa que sirve para identificar las rutas activas en un sitio web. Es decir, que encuentra las direcciones URL de la página que están online y se pueden visitar. En este post, te hablaremos acerca de una de estas herramientas y cómo se pueden utilizar en ciberseguridad. A continuación, te explicaremos qué es Fuff.
Qué es un web fuzzer
Antes de concentrarnos sobre qué es Ffuf, veremos qué es un web fuzzer. Este tipo de software está diseñado especialmente para hallar direcciones de dominio que se encuentren activas y, en consecuencia, que se pueda ingresar a ellas en la red. De este modo, también se puede verificar si existe contenido confidencial o vulnerable que haya sido indexado por accidente a estas rutas de acceso público.
Un web fuzzer se utiliza como protocolo para encontrar este tipo de rutas y verificar si hay fallos. Sin embargo, al ejecutarse crea ruido y la actividad del investigador puede rastrearse. Por eso, se debe contar con el consentimiento del propietario del dominio que se analiza con este método.
Existen diferentes web fuzzers que puedes utilizar para encontrar fallos en una aplicación web. La funcionalidad de los web fuzzers varía según el lenguaje de programación en el que se hayan desarrollado y en cuánta información ofrecen sobre las rutas encontradas. Uno de los web fuzzers más populares, debido a su velocidad, es Ffuf. Ahora, hablaremos específicamente de qué es Ffuf.
Qué es Ffuf
Existen diferentes tipos de fuzzing y también varias opciones de web fuzzers. Uno que se ha comenzado a convertir en el estándar del campo de la ciberseguridad es Ffuf.
Ffuf es un web fuzzer que prueba diferentes combinaciones de direcciones URL de un dominio para identificar qué rutas están activas y cuáles no. Con el fin de hacer este test, Ffuf utiliza listas de palabras predeterminadas que el usuario puede modificar, diseñar o conseguir por su propia cuenta. De este modo, se puede ir a visitar cada uno de los sitios que identifique Ffuf y verificar si existen fallos allí, con el propósito de reportarlos o arreglarlos.
Las vulnerabilidades o fallos de seguridad que se pueden encontrar en una dirección URL activa podrían comprometer el funcionamiento e, incluso, la existencia de una aplicación web. Es común que haya descuidos en la ciberseguridad de estas aplicaciones, debido a que muchas veces las compañías aún no invierten lo suficiente en este campo. Por eso, el web fuzzing es uno de los principales protocolos para reunir información sobre fallos en un sistema.
Otras herramientas
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaYa hemos visto qué es Ffuf, pero existen muchas otras herramientas para poner a prueba la seguridad de una aplicación web. Existen otros métodos para encontrar rutas activas, como Google hacking o Google dorks, así como hay más web fuzzers que funcionan similarmente a Ffuf. A continuación, nos centramos en esas alternativas.
Google dorks
Los términos Google dorks o Google hacking se refieren a la posibilidad de encontrar vulnerabilidades informáticas en sitios web indexados, por medio de comandos de búsqueda avanzados en Google/Bing y cualquier buscador. Esto se puede lograr debido a que existe mucha información indexada por error en la web y, si utilizas los operadores de búsqueda adecuados, podrías encontrarla.
Sin embargo, los web fuzzers sirven para encontrar más direcciones URL que, quizás, no encontrarás con Google hacking.
Dirb
Dirb es un web fuzzer que viene instalado por defecto en Kali Linux, pero también puedes encontrar su código abierto en GitHub. Dirb tiene listados de palabras muy completos y que han sido probados en casos exitosos de fuzzing. Es bueno contar con estos listados en tu ordenador, pues otros fuzzers, como Ffuf, pueden utilizarlos para hacer sus análisis.
De hecho, Ffuf se ha convertido en una alternativa preferida frente a Dirb. Ffuf funciona mucho más rápido, ya que se desarrolló con el lenguaje de programación Go, que es más veloz que el de Dirb, que fue escrito en Python.
American Fuzzy Lop
Este fuzzer, que lleva el mismo nombre que un conejo doméstico, es una herramienta desarrollada por Google y que sirve también para otros tipos de fuzzing. Su desventaja es que, al haber sido construido por Google, cada vez es más difícil hallar fallos con sus listados de palabras, que las han probado por doquier.
Fuzzing
Ahora sabes qué es Ffuf, el web fuzzer que se está comenzando a popularizar más en el mundo de la ciberseguridad. No obstante, el web fuzzing no es el único tipo de fuzzing que existe. Esta práctica también se puede aplicar para poner a prueba cualquier software.
El fuzzing consiste en la prueba automatizada de términos aleatorios, errados o inesperados en las entradas de un sistema. De este modo, se pueden encontrar fallos de seguridad que podrían ser explotados por terceros. Algunos hackers de sombrero negro pueden encontrarlos y desarrollar exploits para aprovecharse de ellos.
Los hackers éticos utilizan el fuzzing para hallar vulnerabilidades y desarrollar los parches para corregirlas o reportarlas.
Continúa aprendiendo
Ya has aprendido qué es Ffuf, para qué se usa y qué herramientas similares existen. Si quieres continuar aprendiendo hasta convertirte en un especialista en ciberseguridad, accede a nuestro Ciberseguridad Full Stack Bootcamp y transfórmate en un experto en menos de 7 meses. ¿A qué esperas? ¡Inscríbete ya!
