Reciban un saludo. Cuando auditas una aplicación web, lo que ves en el navegador es solo la punta del iceberg: hay rutas, directorios y endpoints ocultos que no están enlazados en ningún lado. Hoy les muestro cómo descubrir ese “mapa secreto” de una web con fuzzing inteligente, yendo más allá del típico “tirar una wordlist”.
Uso ético: haz fuzzing solo sobre objetivos propios o con autorización/programa de bug bounty. Hacerlo sin permiso es ilegal y, además, genera mucho ruido.
¿Qué es el fuzzing web?
El fuzzing consiste en probar, de forma automatizada, miles de posibles rutas, parámetros o archivos contra una web para ver cuáles existen. Es la forma de descubrir paneles de administración, endpoints de API, copias de seguridad olvidadas o directorios que el desarrollador creía “ocultos”.
Más allá de “tirar una wordlist”
El fuzzing básico lanza una lista de palabras y mira qué responde 200. El enfoque inteligente va más allá: filtra por código de respuesta y tamaño, hace fuzzing recursivo (cuando encuentra una carpeta, la sigue explorando) y adapta la búsqueda al comportamiento de la app. Así encuentras lo que el ruido normalmente esconde.
Las herramientas que uso
- ffuf (github.com/ffuf/ffuf) — rapidísimo y muy flexible para fuzzear rutas y parámetros.
- feroxbuster (github.com/epi052/feroxbuster) — brilla por su fuzzing recursivo automático.
- Buenos diccionarios, como los de SecLists.
Un ejemplo básico con ffuf:
ffuf -u https://objetivo.com/FUZZ -w wordlist.txt -mc 200,301,403La clave está en filtrar bien (-mc por código, -fs por tamaño) para quedarte solo con lo interesante.
Conclusión
El fuzzing inteligente es lo que separa un escaneo superficial de un descubrimiento real. Filtra, hazlo recursivo y adáptate a la app: ahí es donde aparece el mapa secreto de la web. Una técnica imprescindible en cualquier pentest web.
👉 ¿Quieres dominar el pentesting web y el bug bounty con práctica real? Te espero en los cursos de Academia SecPro. ¡Nos vemos en el próximo!
