Когда мы приступили к созданию Strike — нашего фаззера — у нас была одна цель: сделать его самым быстрым веб-фаззером в мире.
Задача
Существующие фаззеры, такие как ffuf и wfuzz, — отличные инструменты, но они имеют ограничения при работе со сложными целями. Управление пулом соединений, обнаружение ограничений скорости и адаптивный троттлинг — области, которые мы знали, что можем улучшить.
Наш подход
Пул соединений — агрессивное повторное использование соединений с поддержкой мультиплексирования HTTP/2.
Архитектура воркеров — тщательно настроенный пул горутин, максимизирующий пропускную способность без исчерпания ресурсов.
Адаптивный троттлинг — автоматическое обнаружение ограничений скорости и интеллектуальные стратегии отката.
Результаты
Strike стабильно достигает 1000+ запросов в секунду на большинстве целей с пиками до 5000 RPS. Ядро написано на чистом Go с использованием встроенной поддержки HTTP/2 стандартной библиотеки и кастомного пула соединений с автоматической обработкой сбоев.