Firefly：一款针对Web应用程序的黑盒模糊测试工具

Vedu • 2023-08-11 14:57 • 软件工具 • 阅读 823

关于Firefly

Firefly是一款针对Web应用程序的黑盒模糊测试工具，Firefly是一个高级工具，该工具不仅仅是一个标准的资产扫描与发现工具，而且还提供了大量的内置检测方法来检测目标行为。在该工具的帮助下，广大研究人员能够轻松针对目标Web应用程序执行黑盒模糊测试。

工具优势

1、使用了Go语言代码和内部硬件以实现卓越的运行性能；

2、内置引擎负责以感应式方法处理每个任务的响应结果；

3、支持高度定制化开发，可以处理非常复杂的模糊测试任务；

4、提供了过滤选项和请求验证以避免无效结果；

5、提供了友好的错误提示和调试输出；

6、提供了内置Payload；

7、提供了Payload修改和编码功能；

工具安装

由于该工具基于Go语言开发，因此我们首先需要在本地设备上安装并配置好Go语言环境。

接下来，广大研究人员可以使用下列命令将该项目源码克隆至本地，并切换到项目目录中，使用go build命令完成代码编译：

git clone https://github.com/Brum3ns/firefly.git

cd firefly/

go build cmd/firefly/firefly.go

./firefly -h

除此之外，我们也可以直接运行下列命令完成工具的安装：

go install -v github.com/Brum3ns/firefly/cmd/firefly@latest

工具帮助信息

工具使用

查看工具帮助信息：

firefly -h

设置扫描目标：

firefly -u \'http://example.com/?query=FUZZ\'

firefly -u \'http://example.com/?query=FUZZ\' --timeout 7000

firefly -u \'http://example.com/?query=FUZZ\' -m GET,POST,PUT -p https,http,ws

Payload查看和调试：

firefly -show-payload

根据给定类型修改Payload：

firefly -u \'http://example.com/?query=FUZZ\' -e s2c

设置编码：

firefly -u \'http://example.com/?query=FUZZ\' -e hex

十六进制和URL编码所有Payload：

firefly -u \'http://example.com/?query=FUZZ\' -e hex,url

Payload正则式替换：

firefly -u \'http://example.com/?query=FUZZ\' -pr \'\([0-9] =[0-9] \) => (13=(37-24))\'

设置过滤器：

firefly -u \'http://example.com/?query=FUZZ\' -fc 302 -fl 0

firefly -u \'http://example.com/?query=FUZZ\' -mr \'[Ee]rror (at|on) line \d\' -mc 200

firefly -u \'http://example.com/?query=FUZZ\' -mr \'MySQL\' -mc 200

设置字典：

firefly -u \'http://example.com/?query=FUZZ\' -w wordlist.txt:fuzz

firefly -u \'http://example.com/?query=FUZZ\' -w wl/

设置结果输出格式：

firefly -u \'http://example.com/?query=FUZZ\' -o file.txt

firefly -u \'http://example.com/?query=FUZZ\' -oJ file.json

项目地址

Firefly：【GitHub传送门】

参考资料

https://github.com/danielmiessler/SecLists

内容出处：，

声明：本网站所收集的部分公开资料来源于互联网，转载的目的在于传递更多信息及用于网络分享，并不代表本站赞同其观点和对其真实性负责，也不构成任何其他建议。如果您发现网站上有侵犯您的知识产权的作品，请与我们取得联系，我们会及时修改或删除。文章链接：http://www.yixao.com/soft/30917.html