OWASP-zapなどのプログラムを使用してWebサイトのパラメーターをファジングすることについてはよく耳にしましたが、その重要性は何ですか?単純なアクティブスキャンは、XSSなどのWebサイトの脆弱性を検出します。では、なぜファザーが必要なのでしょうか。
誰かがこれにいくつかの光を当てることができればそれは素晴らしいでしょう!ウェブサイトハッキングは初めてです。
ファジングは、既知の脆弱性を見つける手法ではありません。それはあなたが言ったようにアクティブなセキュリティスキャナーの仕事です。代わりに、ファザーは、まだ知られていないnewバグの検出を支援するように設計されています。彼らは、ランダムまたは疑似ランダム入力を構築し、それをターゲットに供給することによってこれを行います。良いファザーはフォーマットを認識し、少し破損しているように見えますが、それ以外の場合は有効です。これが十分に長く行われると、新しい未知のバグがしばしば表面化し始めます。これらのバグは分析でき、場合によっては機能するエクスプロイトに変わることもあります。
私はここで答えがすでに選択されていることを確認しましたが、おそらくこれはあなたがすでに認識しているものです。
ファジングにはさまざまなアプリケーションがあり、一部はすでに上記の回答とコメントで説明されていますが、他のケースでも使用しました。ファジングの簡単な例は、これをスキャンと見なす人もいますが、潜在的なディレクトリまたはファイル名のワードリストを取得し、調査が許可されているドメインでそれらを検索することです。 dirb や gobuster などのツールは、このタイプのファジングの方法に興味がある場合は、一見の価値があります。
test.comを列挙する以下のgobuster
コマンド例:
gobuster -u https://test.com -w ~/wordlists/shortlist.txt
つまり、このケースでこれらのツールを使用して発見されたバグは、多くの場合、一般に公開されているディレクトリとファイルです(ただし、公開できないはずです)。この列挙は、攻撃者がさらに悪用するのを助けるために興味深いものの発見につながる可能性があります。