【ファジングで隠しページを発見？】ハッキングツールのWfuzzとは？ GobusterやDirbとはひと味違うツール！ハッキング・ラボ完全版でも使用されるツール！ No.122

【ファジングで隠しページを発見？】ハッキングツールのWfuzzとは？ GobusterやDirbとはひと味違うツール！ハッキング・ラボ完全版でも使用されるツール！ No.122
動画制作の背景

【ファジングで隠しページを発見？】ハッキングツールのWfuzzとは？ GobusterやDirbとはひと味違うツール！ハッキング・ラボ完全版でも使用されるツール！ No.122

今回は、脆弱性診断ツールかつハッキングツールの「Wfuzz」を解説します。
Wfuzzは、Webアプリケーションの脆弱性診断やセキュリティテストに利用される強力なツールです。
この動画では、Wfuzzの基本的な使い方を解説します。
Wfuzzの基本的な機能やオプション、実際の攻撃シナリオのデモンストレーションを通じて、
Wfuzzを使用してどのように脆弱性を特定するかを解説します。
この動画を通じて、Webアプリケーションのセキュリティに興味のある方々が、
Wfuzzを効果的に活用するための知識を獲得できるように出来ればと思います。
うぷ主の経験上、ハッキング大会でも使う事があるツールであり、
セキュリティの勉強やハッキングを学ぶ上で、覚えて損はないツールと思います。

また、IPUSIRONさんの新刊「ハッキング・ラボ完全版」でも使用する場面が多いツールになります。
動画制作にあたり、ハッカー書籍ではレジェンド的存在の「IPUSIRON」さんが書かれました、
『ハッキング・ラボのつくりかた完全版仮想環境におけるハッカー体験学習』を参考に動画制作しております。
注：動画制作にあたり、IPUSIRONさんご本人の許可を得ております。

＜Wfuzzの特徴＞
・柔軟性とカスタマイズ性
　非常に柔軟で、ユーザーが独自の攻撃パターンやペイロードリストを定義し、
　カスタマイズすることができます。
　これにより、さまざまな攻撃シナリオに対応できます。
・多様な攻撃手法
　ディレクトリブルートフォース、パラメーターのフィジング、フォース攻撃、サブドメインの探索など、さまざまな攻撃手法をサポートしています。
　これにより、幅広いセキュリティテストシナリオに対応できます。
・高速な実行
　並列リクエストを使用して高速に動作し、大規模な攻撃を実行する際に効率的です。
　これにより、短時間で多くのリソースを検査できます。
・スクリプト可能なインタフェース
　Pythonスクリプト言語で書かれており、スクリプトを使用して機能を拡張したり、
　カスタム攻撃を作成したりすることができます。
・プロキシサポート
　プロキシを介して通信することができ、中間者攻撃や通信のキャプチャなどのシナリオで便利です。

▼重要な注意事項
動画の内容を実施する場合、法的および倫理的な側面に留意し、
合法的なネットワーク許可を得た場合にのみ使用するようにしてください。
セキュリティツールは適切に使用されるべきであり、
不正アクセスや不正行為には使用してはいけません。
セキュリティテストは合法的で倫理的な方法で行うべきです。

【目次】
00:00 オープニング
01:01 Wfuzzとは？
01:35 DirbやGobuster違いは？
03:38 ツールの特徴
04:35 Wfuzz独自の機能とは？
05:52 柔軟性とカスタマイズ性が高い！
06:48 Wfuzzの使い方！
07:25 使うべき画面！
08:34 今回のハッキング環境
08:57 Wfuzzを使ってみよう！
10:42 隠しページの検索に成功！
11:19 ファイル検索すると変な文字列が…
12:10 まとめ
14:06 エンディング

▼過去の関連動画
【Webの隠れたページの見つけ方！】Gobusterでハッキング出来そうなファイルやディレクトリを探す方法！ GobusterとDirBusterと違いは？ハッキング・ラボ完全版でも使用されるツール！ツールの仕様や使うべき場面を解説！ No.116
https://youtu.be/Ogogf4HM81g

【Webサイトの裏側の覗き方】dirbでWebサイトをハッキング出来そうなファイルやディレクトリを探す方法！Webサイトの設計や管理のミスを暴くDirbusterとは？ No.101
https://youtu.be/7EMC8K9_UwE

▼動画で紹介したコマンド
wfuzz -c -z file,/home/parrot/Desktop/raft-large-directories.txt –hc 404 “http://192.168.56.106/~FUZZ/”

▼参考サイト
https://cybersecurity-jp.com/column/32171
https://cysec148.hatenablog.com/entry/2021/06/12/133526

SecLists/Discovery/Web-Content/raft-large-directories.txt at master · danielmiessler/SecLists

SecLists is the security tester's companion. It's a collection of multiple types of lists used during security assessments, collected in one place. List types i...

★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆
▼書籍の購入はコチラ！　
『ハッキング・ラボのつくりかた完全版仮想環境におけるハッカー体験学習』は、下記のリンクより購入出来ます。
当チャンネルの視聴者の皆様なら、購入しても損はない書籍と思います。

▼ハッキング・ラボのつくりかた完全版（2024年2月20日発売の新刊！！）
　⇒新刊では、『Parrot OS』でのハッキング環境構築になります。

・Amazon（紙 or Kindle版）
https://www.amazon.co.jp/dp/4798174572/

・翔泳社の公式通販SEshop
こちらは紙 or PDF版が購入出来ます。
初回であれば500円分のポイントと、紙とPDF版をセットで買うと15%分のポイントが貰えます。
https://www.seshop.com/product/detail/26055

★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆

▼IPUSIRONさんのX（Twitter）
https://twitter.com/ipusiron

▼IPUSIRONさんのサイト Security Akademeia【セキュリティアカデメイア】
https://akademeia.info/

★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆

★公式ブログ
https://yukuri-it-channel.com/

★当チャンネルのSNSアカウント
不審なアカウントでなければ、基本的にフォローバック致します。
また、プロフィール設定が初期設定 or 鍵垢は、スパム被害防止のため、フォローバックは致しません。

X（Twitter）
https://twitter.com/yukuri_it
Instagram
https://www.instagram.com/yukuri_it_channel/
threads
http://threads.net/@yukuri_it_channel

★お問い合わせ
info@yukuri-it-channel.com

▼クレジット
・使用BGM
冒頭：Morning フリーBGM DOVASYNDROME OFFICIAL YouTube CHANNEL
本編：Good Morning Sunshine フリーBGM DOVASYNDROME OFFICIAL YouTube CHANNEL
終盤：NEFFEX Believe Instrumental
エンディング：春よ強く美しくフリーBGM DOVASYNDROME OFFICIAL YouTube CHANNEL

・使用素材
YouTuberのための素材屋さん
https://ytsozaiyasan.com/

動画制作の背景

今回は、ハッキング・ラボ完全版に習い作った動画ですね。

DirbuterとかGobusterとか似たツールを紹介しているけど、同じじゃないのよね。
それぞれで特性が事なるし、検索系のツールはhydraのような直接攻撃系ツールよりも覚えていた方がよいと思ってます。
何故なら有効な攻撃が何か調べないと、次の攻撃というか次に何のツールを使うべきかわからないからね。
調査系ツールこそ、多くのツールを覚えるべきと思ってます。
また、パスワード解析系ツールの「Hashcat、John the Ripper、hydra」のように、
当チャンネルでDirbuster、Gobuster、Wfuzzは全て解説したかったのよね～。