FFUF
FFUF (Fuzz Faster U Fool) ist ein quelloffener, in Go geschriebener Web-Fuzzer, der für Sicherheitstests und Reconnaissance-Aufgaben bei Webanwendungen...
FFUF
FFUF (Fuzz Faster U Fool) ist ein quelloffener, in Go geschriebener Web-Fuzzer, der für Sicherheitstests und Reconnaissance-Aufgaben bei Webanwendungen entwickelt wurde. Das Tool ermöglicht die automatisierte Erkennung versteckter Verzeichnisse, Dateien, virtueller Hosts und Parameter auf Webservern durch systematisches Brute-Forcing mit Wortlisten. FFUF hat sich seit seiner Veröffentlichung 2019 zu einem der beliebtesten Werkzeuge in der Bug-Bounty- und Penetrationstest-Community entwickelt.
Überblick
- Typ: Open-Source Web-Fuzzing-Tool
- Kategorie: IT-Sicherheit / Penetration Testing
- Erstveröffentlichung: Juli 2019 (v1.1.0)
- Aktuelle Version: v2.1.0 (September 2023)
- Programmiersprache: Go
- Lizenz: MIT
- Entwickler: Joona Hoikkala (joohoi)
- Website: github.com/ffuf/ffuf
- GitHub-Statistiken: 15.400+ Sterne, 1.500+ Forks, 51 Contributors
Funktionen und Features
FFUF bietet eine breite Palette an Funktionen für verschiedene Fuzzing-Anwendungsfälle:
| Feature | Beschreibung |
|---|---|
| Directory Discovery | Automatische Erkennung versteckter Verzeichnisse und Dateien |
| Virtual Host Discovery | Identifikation von virtuellen Hosts ohne DNS-Einträge |
| Parameter Fuzzing | Test von GET- und POST-Parametern |
| Rekursives Scanning | Automatische Durchsuchung entdeckter Unterverzeichnisse |
| Multiple Wordlists | Unterstützung mehrerer Wortlisten gleichzeitig |
| Externe Mutatoren | Integration von Tools wie Radamsa |
| Interaktiver Modus | Pause und Anpassung von Filtern während der Ausführung |
| Flexible Ausgabeformate | JSON, HTML, CSV und weitere Formate |
| Konfigurationsdateien | Unterstützung von ffufrc-Dateien für Standardoptionen |
Das Tool verwendet das Schlüsselwort FUZZ als Platzhalter in URLs, Headern oder POST-Daten, um die Position für das Fuzzing zu definieren.
Geschichte und Entwicklung
FFUF wurde von Joona Hoikkala entwickelt und im November 2018 erstmals auf GitHub veröffentlicht. Die erste stabile Version (v1.1.0) erschien im Juli 2019. Joona stellte das Tool erstmals im Januar 2019 auf einem HelSec-Meetup in Finnland vor.
Wichtige Meilensteine
| Version | Datum | Highlights |
|---|---|---|
| v1.1.0 | Juli 2019 | Erste stabile Veröffentlichung |
| v1.2.0 | Januar 2020 | Erweiterte Funktionen |
| v1.3.0 | April 2020 | Verbesserte Filteroptionen |
| v1.4.0 | März 2021 | Performance-Optimierungen |
| v1.5.0 | Mai 2021 | Neue Features |
| v2.0.0 | Februar 2023 | Major Release mit neuer Architektur |
| v2.1.0 | September 2023 | Automatische Dekompression, verbessertes Timeout-Reporting |
FFUF verfolgt ein Sponsorware-Modell: Neue Features des Hauptentwicklers sind zunächst exklusiv für GitHub-Sponsoren verfügbar und werden nach 30 Tagen für alle Nutzer freigegeben. Community-Beiträge sind sofort öffentlich verfügbar.
Team und Entwickler
Joona Hoikkala (joohoi)
Der Hauptentwickler von FFUF ist Joona Hoikkala, ein finnischer Sicherheitsforscher und Software-Entwickler mit über zwei Jahrzehnten Erfahrung in den Bereichen Softwareentwicklung und IT-Sicherheit.
- Position: Head of Security Testing bei Visma
- Hintergrund: Purple-Team-Perspektive (sowohl offensive als auch defensive Sicherheit)
- Weitere Projekte:
- Community: Aktiv bei KyberVPK und der finnischen Security-Community
- Konferenzen: Speaker bei Black Hat USA 2024, NDC Security Oslo
Das Projekt hat insgesamt 51 Contributors auf GitHub.
Konkurrenz
FFUF konkurriert mit verschiedenen anderen Web-Fuzzing- und Directory-Bruteforce-Tools:
| Tool | Sprache | Stärken | Schwächen |
|---|---|---|---|
| FFUF | Go | Flexibel, schnell, vielseitige Fuzzing-Optionen | - |
| Gobuster | Go | Sehr schnell, einfach zu bedienen | Weniger Fuzzing-Optionen als FFUF |
| Feroxbuster | Rust | Extrem schnell, eingebaute Rekursion | Nicht in Kali vorinstalliert |
| DirBuster | Java | GUI-basiert, bekannt | Langsam, veraltet |
| Dirsearch | Python | Benutzerfreundlich, gute Standardoptionen | Langsamer als Go/Rust-Alternativen |
| wfuzz | Python | Vielseitig | Geringere Performance |
FFUF gilt in der Community als das Tool mit der besten Balance zwischen Funktionalität und Performance. Viele Nutzer bevorzugen es wegen seiner Geschwindigkeit, Flexibilität und der Möglichkeit, mehr als nur Pfade zu fuzzen (Header, POST-Daten etc.).
Installation
FFUF kann auf verschiedene Arten installiert werden:
# Via Go
go install github.com/ffuf/ffuf/v2@latest
# Via Homebrew (macOS/Linux)
brew install ffuf
# Vorinstalliert in Kali LinuxFür die Kompilierung aus dem Quellcode wird Go 1.16 oder höher benötigt.
Kommentare werden geladen...