31 - fuzzing with ffuf and burpsuite (+Juice Shop installation) | קורס סייבר התקפי 2026

בסרטון הזה נלמד לבצע enumeration לאתר אינטרנט, כלומר סריקת האתר לגילוי דפי אינטרנט, באמצעות טכניקה שנקראית פאזינג (Fuzzing). טכנקית הפאזינג משמשת למגוון רחב וסוגים שונים של אפשרויות פריצה, ולאו דווקא לאיתור דפי אינטרנט. הרעיון מאחורי הטכניקה היא לשלוח ל WEBSERVER בקשות HTTP שונות ולבחון כיצד הוא מגיב. אם לדוגמא יש לנו קובץ שמכיל מליון סיסמאות נפוצות, נוכל לנסות באמצעות טכנקית הפאזינג לשלוח מליון בקשות לדף ההתחברות לאתר, כל פעם עם סיסמא אחרת, כדי לבדוק האם אחת מהסיסמאות יעזרו לנו להתחבר לאתר. דוגמא נוספת יכולה להיות ניסיון של שליחת אלפי קלטים שונים לשדות שונים בדפי האינטרנט שבאתר, כדי לחפש התנהגות לקויה בצד השרת, כגון בעיות אימות של שדות הקלט, מה שלעיתים יאפשר לנו לבצע חדירה לתוך השרת כפי שעוד נלמד בהמשך. באופן דומה, לענייננו, בהקשר של ביצוע enumeration לאתר אינטרנט, אם יש לנו קובץ שמכיל רשימה ארוכה של מאות אלפי שמות של דפי אינטרנט נפוצים, נוכל לשלוח ל WEBSERVER מאות אלפי בקשות HTTP ולבחון את התגובה שלו, האם הWEBSERVER מגיב לנו שהדף קיים או לא קיים. באופן כזה נוכל לאתר דפי אינטרנט שלא היינו יכולים למצוא באמצעות הטכניקות הקודמות שלמדנו. לדוגמא, מכיוון שטכניקת ה spidering שלמדנו בשיעורים הקודמים מתבססת על קישורים שהיא מוצאת בתוך דפי האינטרנט השונים, וכך עוברת מקישור לקישור כדי לאתר דפים באתר, במידה וקיימים באתר דפי אינטרנט שאין להם קישור מדפים אחרים, טכניקת ה spidering לא תאתר אותם. לעומת זאת, בטכניקת ה fuzzing אנחנו לא מסתמכים על קישורים שמופיעים באתר, אלא יש לנו מראש רשימה של מאות אלפי שמות של דפי אינטרנט נפוצים, ואנחנו בודקים אם במקרה אחד מהדפים האלו קיים על ה Web server. באופן כזה נוכל לאתר דפי אדמין שונים, דפי אינטרנט ישנים, או כל מיני דפי טסטים שהמפתחים משתמשים בהם, שבהרבה מקרים אין להם ביקורת הדוקה של צוות אבטחת מידע בארגון כפי שכן מתקיימת בדפי אינטרנט שהציבור הרחב משתמש בהם. // ידע קודם שנדרש לשיעור זה // שיעור Content Discovery - קישור: https://youtu.be/bxIsYsR5XR0 שיעור Cyber Content Management - קישור: https://youtu.be/8BuwL1icB9M // קישורים // הירשמו לערוץ שלי: http://tinyurl.com/SubsAviCyber הצטרפו אלי למועדון: https://tinyurl.com/avijoin היכנסו לערוץ שלי: https://tinyurl.com/AviCyberChannel הורדת האתר הפגיע juice shop - קישור: https://tinyurl.com/457dedcf // סרטונים נוספים בהם מתרגלים את השימוש בכלי ffuf לטובת web site content discovering// יושלם בהמשך. // סרטונים נוספים בהם מתרגלים את השימוש בכלי burp suite לטובת web site content discovering// יושלם בהמשך. // פרקים // 00:00 הקדמה 12:27 התקנה ושימוש ב ffuf 1:16:04 התקנה ושימוש ב burpsuite intruder 1:36:28 עדכון ארגז הכלים שלנו 2:01:44 סיכום 2:05:31 שיעורי בית 2:15:27 מילות סיום