别再用 Claude 裸跑了!这个 Skill 帮你自动挖漏洞,安全测试终于能批量搞
别再用 Claude 裸跑了!这个 Skill 帮你自动挖漏洞,安全测试终于能批量搞
如果你用过 Claude Code 做安全测试,一定经历过这种尴尬:模型很聪明,但它不会 fuzz。你让它“找找这个网站的漏洞”,它只会机械地扫几行 HTML,然后告诉你“看起来没问题”。
现在有了 FFUF Web Fuzzing 这个 Skill,你的 AI 编码助手终于学会干脏活累活了。
它到底是什么?
FFUF 是信息安全领域鼎鼎大名的 Web Fuzzer(Web 模糊测试器),擅长对路径、参数、子域名、表单做批量探测。而这个 Skill 把 FFUF 的能力直接焊进了 Claude Code 的工作流里。
收录自 ComposioHQ 的 awesome-claude-skills 列表,作者是安全研究员 @jthack。安装后,你只需要对 Claude 说一句“用 ffuf 测一下这个站点的 API 路径”,它就会自动启动 FFUF,对目标做字典攻击,然后分析结果、筛选可疑响应,最后给你一份可读的 findings 报告。
能解决什么问题?
- 路径/目录枚举:自动跑常见路径字典,快速摸清站点结构
- 参数 fuzzing:对 GET/POST 参数做值变异,发现未授权访问或注入点
- 子域名爆破:结合 DNS 字典批量探测隐藏子域
- 结果分析:FFUF 原始输出很乱,这个 Skill 让 Claude 帮你整理成人类能看懂的结论
谁该用?
- 安全工程师 / 渗透测试员:把 FFUF 接入 Claude Code,不用反复切终端
- 开发人员:自己写的接口上线前,让 AI 做一轮路径 fuzz,提前堵洞
- CTF 选手:比赛时让 Claude 自动跑字典、筛结果,腾出手想思路
小提醒
安全工具是把双刃剑。FFUF 的威力取决于你的字典和速率控制。用这个 Skill 时,一定只测你有授权 / 自己搭建的目标,别拿去扫生产环境,也别跑太猛把站点打挂。
总结
Claude Code 本身不擅长安全测试,但有了 FFUF Web Fuzzing Skill,它至少能当一个靠谱的“自动化侦察兵”。安全这个赛道,值得多几个趁手的 Skill。
GitHub 地址:https://github.com/jthack/ffuf_claude_skill
评论区
0 条评论
登录后可评论。












