Love Fuzzing: un "wfuzz" para el móvil

Hola de nuevo mis pacientes. Dado que esta comunidad me ofrece la oportunidad, hoy quería hablaros de una aplicación con un precioso nombre: Love Fuzzing.

Se trata de una aplicación para Android con la que podréis fuzzear directorios de un sitio web mientras esperáis en la consulta médica. Es decir, se trata de un “wfuzz” para el móvil, una simple herramienta (little BIG Tools) hecha por el equipo de Ninvus, que nos ayudará a encontrar archivos y directorios mediante peticiones GET. Nada del otro mundo (o sí).

Lo primero que hay que decir, y de verdad que se agradece, es la interfaz minimalista, ágil y útil. nada de publicidad, solicitud de permisos que no vienen a cuento y demás mierdas que me ponen nervioso: cuatro botones, una barra de texto y no quiero más.


Añadir sufijos y prefijos. “View detail” de cada respuesta con más info. Lista incremental. Status del payload según lo vas modificando. Historial emergente en el campo de host. Borrado de todos los datos almacenados por la app, play, pause y stop. Ah! y barra de progreso para ver que todo va bien.; ¿que no? delicioso!

Bien, GUI nueve de diez (luego pongo mi lista para los reyes), pero veamos que tal funciona…

Mi idea era compararlo con un pc con un “pincho” para conectarlo a la wlan y wfuzz como software. Y probarlo en red LAN y WAN, aunque realmente la situación ideal es la red local; conectado mediante un punto de acceso wireless mientras tomas un daikiri ¿no?.
 

Para las pruebas en LAN, pensé en levantarme un servidor apache en el pc y tirarle ahí, pero solo tengo un pc y vi un abuso darle con wfuzz al localhost. Así que le metí al HTTP del router jeje. Con 2588 palabras:

- LoveFuzzing: 245 sec
- wfuzz (1hilo): 45 sec
- wfuzz (10 hilos): 25 sec

En WAN contra xxxxxxx.com, también 2588 palabras:

- LoveFuzzing: 530 sec
- wfuzz (1hilo): 390 sec
- wfuzz (10 hilos): 40 sec

Obviamente todo esto con mi teléfono/pc/conexión de mierda, imagino que los resultados serán mejorables en otras condiciones, además de las mejoras que vaya haciendole Ninvus. Con todo y con eso, yo me la juego y digo que LoveFuzzing es una de las mejores aplicaciones de seguridad que he tenido en el movil. Quizas me estoy viniendo muy arriba, no sé, juzgarlo vosotros.

Y creo que por mi parte no hay mucho más que decir. Ah si! La lista de los reyes para la próxima versión, que creo que está de camino y el que juegue con la aplicación se dará cuenta enseguida:

- Filtro para manejar la lista (por HTTP-code, length…)
- Exportar los resultados al disco.

Y yo ya. Os dejo el link de la apk:

https://play.google.com/store/apps/details?id=com.ninvus.lovefuzzing

PD: Esta gente esta deseando que les hagáis llegar toda duda/problema/sugerencia, así que si les queréis echar un cable, decirles algo.

Contribución gracias a Dr. Zaiuss

5 comentarios :

  1. Gracias a Dr.Zaiuss por la review!! Cómo bien dice, estamos aquí para lo que queráis decirnos. Escribidnos sin problema a ninvus.school@ninvus.com
    Disfrutad del fuzzing ;)

    ResponderEliminar
  2. Tienen algún diccionario genérico para pruebas que se pueda compartir colegas.

    ResponderEliminar
    Respuestas
    1. Lanza una búsqueda en Google tal que "github seclist", seguro que alguno te vale para probar :)

      Eliminar
  3. Parece que le pesan un poco las pelotillas, pero mientras funcione...
    Además me encantó el post, me gusta ese léxico gamberrete claro y conciso.
    ¡Te quiero, Dr. Zaiuss!

    ResponderEliminar
  4. exelente post, mas claro que el agua no se puede.

    ResponderEliminar