O Parameter Fuzzing é uma maneira de tentar adivinhar possíveis parâmetros para um endpoint.
Comando
ffuf -w '/Discovery/Web-Content/burp-parameter-names.txt':FUZZ -u http://0x6a70.com/admin.php?FUZZ=value -fs xxxO parâmetro -fs é importante pois todos os resultados darão 200 OK. Para mais informações, veja a descrição de parâmetros do ffuf.
POST vs GET
Podemos tanto mandar os parâmetros por Post ou Get. Para especificar o método utilizado, devemos definir o parâmetro -X como POST e definir um -H "Content-Type: application/x-www-form-urlencoded. Por exemplo:
fuff -w '/Discovery/Web-Content/burp-parameter-names.txt':FUZZ -u http://0x6a70.com/admin.php -X POST -H "Content-Type: application/x-www-form-urlencoded" -d "FUZZ=key"