关于Firefly
Firefly是一款针对Web应用程序的黑盒模糊测试工具,Firefly是一个高级工具,该工具不仅仅是一个标准的资产扫描与发现工具,而且还提供了大量的内置检测方法来检测目标行为。在该工具的帮助下,广大研究人员能够轻松针对目标Web应用程序执行黑盒模糊测试。
工具优势
1、使用了Go语言代码和内部硬件以实现卓越的运行性能;
2、内置引擎负责以感应式方法处理每个任务的响应结果;
3、支持高度定制化开发,可以处理非常复杂的模糊测试任务;
4、提供了过滤选项和请求验证以避免无效结果;
5、提供了友好的错误提示和调试输出;
6、提供了内置Payload;
7、提供了Payload修改和编码功能;
工具安装
由于该工具基于Go语言开发,因此我们首先需要在本地设备上安装并配置好Go语言环境。
接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地,并切换到项目目录中,使用go build命令完成代码编译:
git clone https://github.com/Brum3ns/firefly.gitcd firefly/go build cmd/firefly/firefly.go-h
除此之外,我们也可以直接运行下列命令完成工具的安装:
go install -v github.com/Brum3ns/firefly/cmd/firefly@latest
工具帮助信息
工具使用
查看工具帮助信息:
firefly -h
设置扫描目标:
firefly -u 'http://example.com/?query=FUZZ'firefly -u 'http://example.com/?query=FUZZ' --timeout 7000firefly -u 'http://example.com/?query=FUZZ' -m GET,POST,PUT -p https,http,ws
Payload查看和调试:
firefly -show-payload
根据给定类型修改Payload:
firefly -u 'http://example.com/?query=FUZZ' -e s2c
设置编码:
firefly -u 'http://example.com/?query=FUZZ' -e hex
十六进制和URL编码所有Payload:
firefly -u 'http://example.com/?query=FUZZ' -e hex,url
Payload正则式替换:
firefly -u 'http://example.com/?query=FUZZ' -pr '([0-9]+=[0-9]+) => (13=(37-24))'设置过滤器:
firefly -u 'http://example.com/?query=FUZZ' -fc 302 -fl 0firefly -u 'http://example.com/?query=FUZZ' -mr '[Ee]rror (at|on) line d' -mc 200firefly -u 'http://example.com/?query=FUZZ' -mr 'MySQL' -mc 200设置字典:
firefly -u 'http://example.com/?query=FUZZ' -w wordlist.txt:fuzzfirefly -u 'http://example.com/?query=FUZZ' -w wl/
设置结果输出格式:
firefly -u 'http://example.com/?query=FUZZ' -o file.txtfirefly -u 'http://example.com/?query=FUZZ' -oJ file.json
项目地址
Firefly:https://github.com/Brum3ns/firefly
【FreeBuf粉丝交流群招新啦!
在这里,拓宽网安边界
甲方安全建设干货;
乙方最新技术理念;
全球最新的网络安全资讯;
群内不定期开启各种抽奖活动;
FreeBuf盲盒、大象公仔......
扫码添加小蜜蜂微信回复“加群”,申请加入群聊】
https://github.com/danielmiessler/SecLists
原文始发于微信公众号(FreeBuf):Firefly:一款针对Web应用程序的黑盒模糊测试工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论