¿Qué esconde esa web que no te enseña? Encuéntralo
¿Qué hay detrás de una web que no se ve a simple vista? Hoy lo descubres. Vamos a usar fuzzing para explorar rutas ocultas como si estuviéramos abriendo puertas en un edificio sin mapa.
⚡ Ir al laboratorio (puede tardar en levantarse)Lo que necesitas: Linux, macOS, o Windows con WSL. Si no tienes nada de esto, instala Kali Linux — es gratis y FFUF ya viene instalado.
¿Qué es fuzzing?
Cuando entras a una web, la dirección del navegador tiene una ruta — la parte que va después del dominio:
https://miweb.com/admin
↑
esto es la ruta
Las webs tienen muchas rutas. Algunas están enlazadas en los menús, otras no — pero siguen activas:
/admin ← panel de administración
/.env ← archivo con contraseñas y claves API
/backup ← copia de la base de datos
/config ← configuración interna
Si el desarrollador se olvidó de protegerlas, están ahí esperando a que alguien las encuentre.
Fuzzing es probar rutas automáticamente, una detrás de otra, para ver cuáles existen. En vez de hacerlo a mano, usamos una herramienta que lo hace por nosotros en segundos.
¿Cómo se explota?
Usamos FFUF. La terminal es la pantalla negra donde escribes comandos de texto — en Kali la encuentras en el menú, en Mac se llama Terminal, en Windows busca “PowerShell”.
El comando básico:
ffuf -u https://objetivo.com/FUZZ -w lista.txt -mc 200,301,403
Qué significa cada parte:
-ues la URL objetivo.FUZZes el marcador — ahí es donde FFUF va probando cada ruta-w lista.txtes tu archivo con las rutas a probar, una por línea-mc 200,301,403filtra para mostrar solo respuestas interesantes
Los códigos que devuelve el servidor y qué significan:
| Código | Qué significa |
|---|---|
| 200 | La ruta existe y puedes verla ✅ |
| 403 | Existe pero no tienes permiso — anótala igualmente |
| 404 | No existe |
🎯 Tu reto
Encuentra al menos 3 rutas reales en el laboratorio.
Paso 1 — crea un archivo llamado lista.txt y escribe esto dentro (una ruta por línea):
admin
login
panel
dashboard
config
backup
secret
api
.env
Paso 2 — abre la terminal, ve a la carpeta donde guardaste el archivo y ejecuta:
ffuf -u https://ffuf-lab.onrender.com/FUZZ -w lista.txt -mc 200,301,403
Paso 3 — las rutas que aparezcan en los resultados, ábrelas en el navegador:
https://ffuf-lab.onrender.com/RUTA
Mira qué hay en cada una.
🛡️ Cómo se protege
- Las rutas sensibles tienen que pedir usuario y contraseña antes de mostrar nada
- Antes de publicar una app, revisar qué rutas están expuestas
- Devolver 404 en vez de 403 para no confirmar que la ruta existe
// ¿te has atascado?
Ver solución paso a paso
Haz clic para revelar
- Crea
lista.txtcon las rutas del apartado anterior. - Abre la terminal y navega a la carpeta:
cd ~/Desktop(o donde lo hayas guardado). - Ejecuta:
ffuf -u https://ffuf-lab.onrender.com/FUZZ -w lista.txt -mc 200,301,403 - Copia las rutas con código 200 o 403 y ábrelas en el navegador.
- Bonus: en Kali usa
-w /usr/share/seclists/Discovery/Web-Content/common.txtpara una lista de miles de rutas.