Segurança da Informação Admin

Dominando Fuzzing de Aplicações Web: ffuf, Gobuster e Descoberta de Endpoints em Projetos Reais Já leu

Introdução ao Fuzzing de Aplicações Web Fuzzing é uma técnica de teste de segurança que envolve enviar dados aleatórios, malformados ou inesperados para uma aplicação com o objetivo de descobrir vulnerabilidades, comportamentos anômalos ou falhas. No contexto de aplicações web, o fuzzing é particularmente valioso porque permite identificar endpoints ocultos, parâmetros não documentados e caminhos que poderiam ser explorados por atacantes. Diferentemente de testes manuais, o fuzzing automatiza esse processo de forma massiva e repetitiva. Na prática, você irá usar ferramentas especializadas que enviam centenas ou milhares de requisições HTTP contra um alvo, testando cada resposta para padrões que indicam a existência de um recurso válido. Essa abordagem é não intrusiva quando bem configurada, pois você controla completamente a natureza das requisições e pode realizar testes legítimos em ambientes de teste ou com permissão prévia. Fundamentos Teóricos e Conceitos Essenciais O que é Discovery de Endpoints Discovery de endpoints é o processo de mapear todos os caminhos (URLs) disponíveis em

Introdução ao Fuzzing de Aplicações Web

Fuzzing é uma técnica de teste de segurança que envolve enviar dados aleatórios, malformados ou inesperados para uma aplicação com o objetivo de descobrir vulnerabilidades, comportamentos anômalos ou falhas. No contexto de aplicações web, o fuzzing é particularmente valioso porque permite identificar endpoints ocultos, parâmetros não documentados e caminhos que poderiam ser explorados por atacantes. Diferentemente de testes manuais, o fuzzing automatiza esse processo de forma massiva e repetitiva.

Na prática, você irá usar ferramentas especializadas que enviam centenas ou milhares de requisições HTTP contra um alvo, testando cada resposta para padrões que indicam a existência de um recurso válido. Essa abordagem é não intrusiva quando bem configurada, pois você controla completamente a natureza das requisições e pode realizar testes legítimos em ambientes de teste ou com permissão prévia.

Fundamentos Teóricos e Conceitos Essenciais

O que é Discovery de Endpoints

Discovery de endpoints é o processo de mapear todos os caminhos (URLs) disponíveis em uma aplicação web. Muitos desenvolvedores acreditam erroneamente que endpoints não documentados estão "ocultos" apenas porque não aparecem em um sitemap ou documentação. Na realidade, esses endpoints ainda existem no servidor e podem ser descobertos através de fuzzing. Um endpoint pode ser /admin, /api/v1/users, /backup.sql ou qualquer caminho que a aplicação responda diferentemente da resposta padrão 404.

A importância prática disso é enorme: endpoints administrativos abandonados, pontos de API internos, painéis de debug ou funcionalidades beta podem representar vetores de ataque significativos. Uma abordagem sistemática de discovery reduz drasticamente a superfície de ataque desconhecida.

Como o Fuzzing Funciona

O processo fundamental é simples: a ferramenta mantém uma lista de palavras-chave (wordlist), itera sobre cada palavra, constrói uma URL completa e envia uma requisição HTTP. A resposta é então analisada — geralmente observando o código de status HTTP (200, 301, 403, etc.), tamanho do corpo da resposta ou conteúdo específico. Se a resposta diferir do padrão 404, o endpoint é marcado como descoberto.

A eficácia depende fortemente da qualidade da wordlist utilizada. Uma wordlist com palavras comuns como "admin", "api", "login", "backup" será mais rápida mas menos abrangente. Wordlists mais longas com milhares de termos são mais lentas mas têm maior cobertura. Frequentemente, você usará múltiplas wordlists e refinará com base em descobertas iniciais.

ffuf: Fuzzing Flexível e Poderoso

Instalação e Configuração Básica

O ffuf (Fuzz Faster U Fool) é escrito em Go e oferece performance excepcional com grande flexibilidade. A instalação é direta:

# Via repositório (Linux)
sudo apt-get install ffuf

# Ou compilar do source
git clone https://github.com/ffuf/ffuf
cd ffuf
go get
go build

Descoberta Básica de Diretórios

O uso mais fundamental é descobrir diretórios e arquivos em um alvo:

ffuf -u http://alvo.com/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -mc 200,301,302,401,403

Quebrando esse comando:
- -u: URL alvo com FUZZ como placeholder
- -w: wordlist a usar
- -mc: match codes — quais códigos HTTP considerar como match (200 = sucesso, 301/302 = redirecionamento, 401/403 = restrito)

A saída mostrará cada endpoint descoberto com seu respectivo código de status. Você pode adicionar -o resultado.json para salvar em JSON para análise posterior.

Filtragem Avançada e Exclusão

Um dos maiores desafios no fuzzing é lidar com falsos positivos. Muitos servidores retornam 200 para qualquer caminho inexistente com uma página de erro padrão:

ffuf -u http://alvo.com/FUZZ \
  -w wordlist.txt \
  -fc 404 \
  -fs 1024 \
  -mc 200,301,302,401,403 \
  -v

Novas flags:
- -fc: filter codes — excluir esses códigos de status (404 = não encontrado)
- -fs: filter size — excluir respostas com esse tamanho em bytes (útil para eliminar páginas de erro padrão)
- -v: verbose — mostra todas as requisições, não apenas matches

Fuzzing Recursivo e em Múltiplos Parâmetros

O ffuf suporta múltiplos FUZZ placeholders. Para descobrir estruturas aninhadas:

ffuf -u http://alvo.com/FUZZ1/FUZZ2 \
  -w wordlist.txt:FUZZ1,wordlist.txt:FUZZ2 \
  -mc 200,301 \
  -recursion \
  -recursion-depth 2

Com -recursion, o ffuf automaticamente testa caminhos descobertos recursivamente, expandindo a busca para subdireções. O -recursion-depth limita a profundidade para evitar tempo de execução excessivo.

Fuzzing de Parâmetros GET/POST

Você pode usar ffuf para descobrir parâmetros ocultos:

ffuf -u "http://alvo.com/search?FUZZ=test" \
  -w parameters.txt \
  -mc 200 \
  -fr "parameter not found"

Aqui o FUZZ está dentro do query string. A flag -fr (filter regex) permite excluir respostas que contenham certas strings, útil para eliminar mensagens de erro padrão.

Gobuster: Velocidade e Simplicidade

Instalação e Conceito

Gobuster é outra ferramenta Go-based amplamente usada pela comunidade de segurança. É conhecida por ser minimalista, mas extremamente rápida:

# Via apt
sudo apt-get install gobuster

# Ou compilar
git clone https://github.com/OJ/gobuster
cd gobuster
go build

Modo de Diretório (dir)

O modo mais comum é o discovery de diretórios:

gobuster dir -u http://alvo.com \
  -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt \
  -s 200,301,302,401,403 \
  -o resultado.txt

Flags:
- -u: URL alvo
- -w: wordlist
- -s: status codes para considerar como match
- -o: arquivo de saída

Por padrão, gobuster testará cada palavra da wordlist contra a raiz e relatará qualquer resposta diferente de 404. A output é human-readable e pode ser salva para documentação.

Modo DNS (dns)

Gobuster também realiza fuzzing de subdomínios, útil em reconhecimento inicial:

gobuster dns -d alvo.com \
  -w subdomains.txt \
  -r 8.8.8.8 \
  -o dns_result.txt

Aqui você está descobrindo subdomínios em alvo.com. A flag -r especifica um resolver DNS (Google's 8.8.8.8 neste caso).

Modo VHOST (vhost)

Para aplicações em ambientes cloud ou com múltiplos domínios apontando para um IP:

gobuster vhost -u http://alvo.com \
  -w vhosts.txt \
  -t 50

O modo vhost testa diferentes nomes de host contra um IP único, descobrindo virtual hosts ocultos.

Otimização de Performance

Gobuster é bastante rápido por padrão, mas você pode aumentar a concorrência:

gobuster dir -u http://alvo.com \
  -w wordlist.txt \
  -t 200 \
  -s 200,301,402,403 \
  --delay 10ms

A flag -t (threads) aumenta o número de requisições simultâneas. O --delay adiciona uma pausa entre requisições, útil se você está sendo rate-limited. Use com cuidado — mais threads = mais rápido, mas também mais carga no alvo.

Descoberta de Endpoints: Estratégia Prática

Metodologia de Reconhecimento Estruturado

Descoberta efetiva segue um padrão hierárquico. Comece com a raiz e explore para baixo:

# Passo 1: Descobrir diretórios principais
ffuf -u http://alvo.com/FUZZ \
  -w common-dirs.txt \
  -mc 200,301,302,401,403 \
  -t 50

# Passo 2: Para cada diretório descoberto, faça fuzzing recursivo
ffuf -u http://alvo.com/admin/FUZZ \
  -w common-files.txt \
  -mc 200,301,401,403 \
  -t 50

# Passo 3: Teste extensões comuns
ffuf -u http://alvo.com/backup.FUZZ \
  -w extensions.txt \
  -mc 200 \
  -t 30

Nessa abordagem você não está disparando 100 mil requisições cegamente. Está construindo uma árvore de endpoints descobertos, reduzindo o escopo em cada iteração.

Wordlists Efetivas

Não use wordlists genéricas para tudo. Personalize com base no contexto:

# Para descoberta inicial (rápida, muitos falsos negativos aceitáveis)
/usr/share/wordlists/dirbuster/directory-list-2.3-small.txt

# Para API fuzzing
https://github.com/danielmiessler/SecLists/blob/master/Discovery/Web-Content/api/common.txt

# Para descoberta de arquivos de configuração
https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content/common-api-endpoints-master.txt

O repositório SecLists no GitHub é uma referência essencial — contém milhares de wordlists categorizadas e mantidas pela comunidade.

Análise de Resultados

Nem todo endpoint descoberto é interessante. Você precisa priorizar:

# 401/403: endpoints restringidos (potencialmente sensíveis)
# 200: endpoints públicos (pode conter informações ou funcionalidades)
# 301/302: redirecionamentos (pode indicar uma estrutura legada)
# 500: erros do servidor (pode indicar vulnerabilidades)

Organize suas descobertas em categorias. Endpoints 401/403 são frequentemente os mais valiosos — indicam funcionalidades administrativas ou protegidas que podem ter vulnerabilidades de controle de acesso.

Caso Prático: Fuzzing Completo em uma Aplicação

Imagine uma aplicação web em http://exemplo.local. Sua estratégia seria:

# 1. Descobrir estrutura principal
gobuster dir -u http://exemplo.local \
  -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt \
  -s 200,301,302,401,403 \
  --timeout 5s \
  -o raiz.txt

# 2. Para cada diretório (exemplo: /api), expandir
ffuf -u http://exemplo.local/api/FUZZ \
  -w api-endpoints.txt \
  -mc 200,301,401,403 \
  -fc 404 \
  -t 100 \
  -o api.json

# 3. Descobrir versões de API
ffuf -u http://exemplo.local/api/v/FUZZ \
  -w common-api-versions.txt \
  -mc 200,301,403 \
  -fs 0

# 4. Fuzzing recursivo em direções promissoras
ffuf -u http://exemplo.local/api/v1/FUZZ \
  -w api-resources.txt \
  -recursion \
  -recursion-depth 3 \
  -mc 200,301,403 \
  -t 75

Cada etapa refina os resultados anteriores. Você documentaria cada descoberta e investigaria as mais interessantes manualmente via navegador ou curl.

Conclusão

Os três pontos principais que você deve levar deste artigo: Primeiro, fuzzing não é bruteforce aleatório — é uma técnica sistemática e estruturada que depende fortemente da qualidade das wordlists e da estratégia de filtragem. Você não dispara 10 milhões de requisições indiscriminadamente; você constrói uma árvore de descoberta, refinando em cada nível. Segundo, ffuf e gobuster são complementares, não competitivos. ffuf oferece flexibilidade com múltiplos parâmetros FUZZ e recursão automática; gobuster oferece simplicidade e velocidade pura para casos diretos de descoberta de diretórios. Escolha sua ferramenta baseado na tarefa específica. Terceiro, a análise de resultados é tão importante quanto a execução. Falsos positivos são uma realidade; você precisa de estratégias de filtragem por tamanho de resposta, conteúdo e padrões para distinguir endpoints reais de páginas de erro padrão.

Referências

  • FFUF Official Repository: https://github.com/ffuf/ffuf
  • Gobuster Official Repository: https://github.com/OJ/gobuster
  • SecLists - Wordlists Collection: https://github.com/danielmiessler/SecLists
  • OWASP Testing Guide - Configuration and Deployment Management: https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/README
  • HackerOne - Web Security Fundamentals: https://www.hackerone.com/resources/articles

Artigos relacionados