¿Qué es FUZZING y para qué sirve?
Fuzzing es una metodología que consiste en enviar datos aleatorios o modificados a una aplicación web con el objetivo de provocar errores o descubrir vulnerabilidades. Esta técnica puede realizarse de forma manual, pero en este curso nos centraremos en el uso de herramientas automatizadas que facilitan y aceleran el proceso. Gobuster es una de estas herramientas, permitiendo la enumeración de directorios y archivos de manera eficiente.
Tutorial de Gobuster en Kali Linux:
Paso 1: Instalación de Gobuster
Para comenzar, el primer paso es instalar Gobuster en mi sistema Kali Linux. Usamos el comando sudo apt install gobuster. Una vez instalado, la herramienta podemos ejecutar desde terminal con el comando gobuster.
Paso 2: Enumeración de Directorios
El primer método que vamos a ver es el modo dir de Gobuster para descubrir directorios en una aplicación web.
Especificamos la URL del objetivo y seleccionamos un diccionario de palabras clave ubicado en /usr/share/wordlists/dirb/common.txt. El comando resultante es algo así:
gobuster dir -u http://<IP> -w /usr/share/wordlists/dirb/common.txt -t 30 -o results.txtPaso 3: Enumeración de Archivos
El segundo método que vamos a ver dentro del modo dir es para descubrir archivos.
gobuster dir -u http://<IP> -w /usr/share/wordlists/dirb/common.txt -x php,html,txt -t 30 -o results_files.txtPaso 4: Exploración de Subdominios (opcional)
El tercer método que vamos a ver, es el modo dns que se utiliza para encontrar subdominios.
gobuster dns -d http://<domain> -w /usr/share/wordlists/dnsenum/dns.txt -t 30 -
