信息收集——Web目录扫描

最新推荐文章于 2024-05-16 10:08:38 发布
最新推荐文章于 2024-05-16 10:08:38 发布
阅读量583 收藏
点赞数
分类专栏: 信息收集 文章标签: 搜索引擎 web安全 经验分享 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gjqhs/article/details/123403323
版权

目录扫描原因
寻找到网站后台管理
寻找未授权界面
寻找网站更多隐藏信息

目录扫描方法


robots.txt

Robots协议 (Robots Exclusion Protocol)
“网络爬虫排除标准”,网站通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。同时也记录网站所具有基本的目录

搜索引擎

搜索引擎会爬取网站下目录,并且不需要触碰网站任何防御设备
语法:site:sangfor.com.cn

爆破

通过字典匹配网站是否返回相应正确状态码,然后列出存在的目录爆破可能会触发网站防火墙拦截规则,造成IP封禁

爆破一工具
dirb、dirbuster、御剑

爆破-DIRB
DIRB是一个Web内容扫描程序
通过字典查找WEB服务器的响应
DRIB只能扫描网站目录不能扫描漏洞

参数:

-a 设置User-Agent,(Default is:"Mozilla/4.0 (compatible;MSIE

6.0;Windows NT 5.1)")

-X XXX在每个词后增加XXX后缀,比如“.html”、“php”

-z number延迟多少毫秒后,再发包。比如间隔1秒发包,-z 1000

-b不扫描../或者./

-c设置Cookie

-E设置证书文件

-o outfile file保存扫描文件

爆破-dirbuster
DirBuster多线程Java应用程序
  主要扫描服务器上的目录和文件名
  扫描方式分为基于字典和纯爆破
  OWASP下开源项目

爆破一dirbuster

字典爆破使用步骤:

Target URL输入URL,格式按照eg输入

work method选择Auto Switch

Number of Threads根据环境设定

select scaning type选择List based

brute force

File with list of dirs,/files点击browse

选择字典文件

select starting options选择URL fuzz

URL to fuzz输入/{dir}

start

告诉桃花不用开了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web课程设计人事信息管理系统.doc
11-21
本文将详细探讨一个Web课程设计项目——人事信息管理系统。这个系统旨在开发一个基于Intranet网络的B/S(浏览器/服务器)模式的信息管理系统,用于实现数据的录入、删除、修改、扫描和查询等功能。课程设计的主要...
WEB渗透——新手入门之初级工具利用
01-16
1. **信息收集**:首先,渗透测试通常从信息收集开始,这包括DNS记录查询、WHOIS查询、搜索引擎挖掘(如Google Hacking)、端口扫描等。一些常用工具如Nmap、Shodan、Wayback Machine等能帮助收集目标网站的信息。 ...
渗透测试 | 目录扫描
尼泊罗河伯的博客
04-30 3307
信息收集可以说是在渗透测试中最重要的一部分,其中目录扫描也占有重要位置。通过目录扫描,可以查找到目标系统中可能存在的敏感文件和目录,在进行目录扫描之前,必须获得授权并遵守法律和道德准则。由于作者水平有限,文中若有错误与不足欢迎留言,便于及时更正。
Web网站目录扫描技术研究专题
weixin_34363171的博客
12-29 412
   Web***中一个非常关键的技术就是Web目录扫描,虽然目前有一些网站目录扫描软件,但在实践中各有所长,因此需要对一些小、中以及大型漏洞扫描软件的有关目录和文件扫描技术进行研究,因此安天365团队特公布研究方向和思路,欢迎广大安全爱好者参与,参与研究的成员将分享本专题所有的研究成果(文章、代码和工具等),下面是一些需要研究的细节: (1)Web目录和文件扫描的原理 (2)Web目录和文...
推荐开源项目:OWASP WEB Directory Scanner — 打开网站安全扫描的新篇章
最新发布
gitblog_00031的博客
05-16 429
推荐开源项目:OWASP WEB Directory Scanner — 打开网站安全扫描的新篇章 项目地址:https://gitcode.com/stanislav-web/OpenDoor 项目介绍 OWASP WEB Directory Scanner(简称OpenDoor OWASP) 是一款强大的命令行多功能网站扫描工具。它旨在帮助您找到登录入口、目录索引、Web外壳、受限访问点、子域...
网络安全——Web目录扫描
weixin_54055099的博客
09-01 4685
Web目录扫描
目录扫描工具—dirsearch使用指南
北冥同学的成长记录笔记
08-17 3566
dirsearch旨在暴力扫描页面结构,包括网页中的目录和文件。
Web目录及漏洞扫描
weixin_51758733的博客
10-03 297
Web目录及漏洞扫描
内网综合扫描工具fscan的详细使用
03-27
支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。 主要功能 1.信息搜集: 存活探测(icmp) ...
服务器禁止列目录功能,以防止黑客扫描网站目录结构
01-08
服务器禁止列目录功能,以防止黑客扫描网站目录结构
【Java毕业设计】毕业设计——基于Java的漏洞扫描系统.zip
02-27
【Java毕业设计】毕业设计——基于Java的漏洞扫描系统 在IT行业中,Java是一种广泛应用的编程语言,尤其在企业级应用开发中占有重要地位。基于Java的漏洞扫描系统是网络安全领域的一个重要课题,旨在帮助企业和组织...
如何使用Dirsearch探测Web目录
zhangge3663的博客
03-29 1281
当渗透测试工程师执行网站渗透测试时,第一步应该是找到易受攻击的网站的隐藏目录。 这些隐藏的Web目录非常重要,因为它们可以提供一些非常有用的信息,即在面向公众的网站上看不到的潜在攻击媒介。 比较快捷的攻击方法之一就是采用暴力猜解网站目录及结构,其中包括网站中的目录、备份文件、编辑器、后台等敏感目录,为此,需要选择一个功能强大的工具。 尽管有很多可用的工具来执行站点暴力破解,包括Dirbuster或Dirb,但是它们有其自身的局限性,例如Dirbuster仅提供时钟不可行的GUI界面,并且Dirb不包括
渗透测试之目录扫描
hmysn的博客
05-16 4880
什么是目录扫描: 在我们部署了网站之后有很多的敏感文件,比如说配置文件(.cfg)、数据文件(.sql)、目录文件(/backup /conf /admin)。但是有些网站如果配置出现问题,就会被攻击者攻击。 这些配置的问题会导致数据库用户名和密码 、服务器的用户名和密码 、数据库的文件、网站源码等等信息都会被 入侵。如果黑客获得了相应文件后,就能对网站进行进一步的攻击! 目录为什么会泄漏: 1、配置问题。 2、本地文件包含问题。 比如在一个php文件中,我们经常会有一些公共的文件,在其他的代码文件
渗透测试 10 --- 扫描 web目录 (dirb、wfuzz、wpscan、nikto)
墨鱼菜鸡
07-17 3387
github 更多工具:https://github.com/topics/dirb github 上 fuzz 工具、字典:https://github.com/search?q=fuzz 当使用一个工具扫描完成后,如果没发现漏洞,可以使用其他 web 扫描工具再扫描下,因为每个工具可能侧重点不一样,扫描出来的漏洞就不一样。 关键字 ...
服务器文件扫描,网站目录文件扫描工具dirbuster
weixin_39728320的博客
08-09 2283
网站目录扫描的工具很多,最开始用的wwwscan 、御剑,甚至一些小扫描器自带的比如,椰树、北极熊用来用去,最终你还是会发现,一些个人写的工具真的都是渣渣要么后门,要么崩溃闪退,小白用用还是可以的,但是最终你需要的还是工具的系统化专业化,总不能一直用二三流的工具我打算后面长期用dirbuster来进行各种渗透测试1. kali打开打开dirb 和dirbuster是一样的,就跟nmap 和nma...
Web网站敏感目录/内容探测工具 : Cansina
阿金正传
04-06 8204
转自 Linux 折腾笔记 Cansina是一款用于发现网站的敏感目录和内容的安全测试工具;特点: 多线程HTTP/S 代理支持数据持久性 (sqlite3)多后缀支持 (-e php,asp,aspx,txt…)网页内容识别 (will watch for a specific string inside web page content)跳过假404错误可跳过被过滤
渗透测试web目录扫描dirb dirbuster ffuf 扫描原理和使用场景
nihao_ma_的博客
06-20 1214
Dirb、DirBuster和FFUF在扫描原理和使用场景上有所不同。
web安全漏洞扫描工具
08-19
在渗透测试的信息收集阶段完成后,根据收集到的信息,可以使用这些漏洞扫描工具来扫描目标站点可能存在的漏洞,包括SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞和命令执行漏洞等。通过寻找这些已知的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值