信息收集之目录扫描-dirbuster

已于 2022-07-31 16:14:50 修改
阅读量1.9k 收藏 1
点赞数 2
分类专栏: kali工具篇 文章标签: web安全
于 2022-07-31 16:03:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58000413/article/details/126065751
版权

注意:仅用于技术讨论,切勿用于其他用途,一切后果与本人无关。

1.目录扫描的作用

        探测网站的结构,可以扫到敏感文件、后台文件、数据库文件、和泄露信息的文件

2.常见的目录信息泄露

        a.目录遍历漏洞:(前端数据包传输的时候没有验证可能会出现)

                原理:程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件

        b.敏感信息泄露:

                由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到                        

                1.通过访问url可以直接

                2.输入错误的url参数后,错误信息中可能有操作系统中间件等信息

        c.前端的源码里面包含敏感信息

3.常见的源码泄露案例

Web源码泄露浅析

4.目录扫描工具-dirbuster

        一、robots.txt

                网站内的robots.txt文件

        二、目录爆破

                御剑        nikto        dirbuster        webdirscan...

        三、第三方资源引用

                Js        SDK

DirBuster

        owasp项目,dirbuster是一个多线程的基于java的应用程序设计用于暴力破解web应用服务器上的目录名和文件名的工具

    

具体操作步骤如下:

1.URL设置;

2.线程数设置;

3.选择爆破字典;

4.取消选择递归查询;

5.开始运行

优点可以扫出网站的结构,就非常的好

https://habo.qq.com/

里面应用可以对后门程序进行扫描

不习惯有你
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
目录扫描字典.rar
08-04
最新网页目录集合,整理超大字典,5M字典,目录均为多个论坛下载及平时整理得到。方便大家使用。直接下载,无需链接,非百度云,
渗透测试之目录扫描
03-18
DirBuster-1.0-RC1主要用于渗透测试必备工具之一,主要网站目录扫描信息收集,支持php,asp、jsp、aspx、以及Java等信息收集,通过扫描的结果进一步利用,发现站点漏洞,有利于下一步测试。
端口+目录扫描
GalaxySpaceX的博客
12-26 1111
端口+目录扫描
渗透测试-目录扫描
mmxhappy的专栏
01-17 513
比如在一个php文件中,我们经常会有一些公共的文件,在其他的代码文件中不需要重复编码的话,那我们就能用include +文件名 让php文件在当前的代码中生效,如果可以包含其他页面的代码,比如说恶意的代码,那么这个恶意代码就会被执行。一般来说,我们会给用户登录的界面,然后管理员也会有管理员登录的专用界面,虽然这些目录一般不会开放,但是如果我们在做目录扫描的时候扫出来了这样的目录,比如(admin或者manager),如果没有次数限制,那么我们可以尝试用暴力破解的方式进行攻击。等等信息都会被 入侵。
最好的目录扫描工具dirsearch-master非常详细使用方法,2024年最新2024年你与字节跳动只差这份笔记
最新发布
2401_83739632的博客
04-16 1715
使用网上收集的Springboot-ActuatorExploit字典都扫描不出目录,但使用这个默认字典能扫描出/swagger-resources目录。注:dirsearch的目录字典不能在其他扫描工具里面使用。注:requirements.txt文件在dirsearch-master目录里面,所以是进入dirsearch-master目录后执行的命令。//采用指定路径的wordlist且拓展名为php,txt,js的字典扫描目标url。//使用文件拓展名为php和txt以及js的字典扫描目标。
推荐几款优秀的目录扫描工具
siu~
06-29 7607
目录扫描在渗透测试中是工程师不可或缺的一环,其中的重要性不言而喻。 刚开始学习渗透测试的时候也是从网上下载了很多目录扫描工具,但是随着时间的推移,发现同样类型的工具只需要使用最优的几款即可 所以推荐几款自己觉得还不错的目录扫描工具。
渗透测试 | 目录扫描
尼泊罗河伯的博客
04-30 3243
信息收集可以说是在渗透测试中最重要的一部分,其中目录扫描也占有重要位置。通过目录扫描,可以查找到目标系统中可能存在的敏感文件和目录,在进行目录扫描之前,必须获得授权并遵守法律和道德准则。由于作者水平有限,文中若有错误与不足欢迎留言,便于及时更正。
信息收集(七)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-16 771
目录扫描可以让我们看到这个网站存在多少目录,多少页面,探索出网站的整体结构。通过目录扫描我们还可以扫描敏感文件,后台文件,数据库文件,和信息泄露文件,等等。
第五节 收集Web站点信息-01
09-15
在探测敏感目录信息时,我们可以使用御剑后台扫描工具、wwwscan 命令行工具、dirb 命令行工具、dirbuster 扫描工具等,这些工具可以帮助我们快速地探测出目标 Web 站点的敏感目录信息。 WordPress 测试 WordPress ...
web漏洞挖掘经验.pdf
12-12
* 单个网站目录扫描:使用 御剑后台扫描DirBuster、wwwscan 等工具可以单个网站目录扫描。 6. Email 收集: * 通过 teemo、maltego、burpsuite、awvs、netsparker 或者 google 语法收集邮箱账号。 * 收集对方...
eLearnSecurity eWPT Notes.pdf
10-06
Dirbuster 是一种常用的爬虫工具,用于收集关于目标应用程序的信息。该工具可以帮助 testers 发现目标应用程序中的漏洞和风险。 eLearnSecurity eWPT Notes 提供了关于渗透测试的基本概念和技术,涵盖了 ...
2019网络空间安全(国赛题).docx
12-02
2. 收集phpinfo和爬行数据:加载爬行模块并搜索phpinfo信息,可以使用`crawl.web_spider`命令,再配合其他参数以收集数据,此命令作为Flag值提交。 3. 启用sql盲注、命令注入和SQL注入审计:使用`audit --enable ...
推荐几款优秀的目录扫描工具,【金三银四】
m0_56169789的博客
04-07 1396
目录扫描在渗透测试中是不可或缺的一环,其中的重要性不言而喻。这里推荐几款个人使用觉得的还不错的扫描工具。
目录扫描工具-Dirsearch操作手册
weixin_44820552的博客
06-29 1942
执行python install -r requirements 安装依赖。执行python dirsearch -h 即可查看是否安装成功。确保python环境是3.x。
Web目录扫描工具:原理与实现
Yuppie001的博客
12-21 904
理解并实现一个基本的Web目录扫描工具不仅是提升网络安全技能的一个重要步骤,也有助于更好地理解Web应用的安全架构。
渗透测试:简单强大的目录扫描工具
qq_62428674的博客
09-07 1790
Spider模块是一个自动化的爬虫,它可以根据网站的链接和表单,自动发现网站的目录和文件。Intruder模块是一个强大的攻击工具,它可以根据我们自定义的参数,对网站进行定制化的攻击。这里,我推荐使用Intruder模块来进行目录扫描,因为它可以让我们更灵活地控制扫描的过程和结果。要使用Intruder模块来进行目录扫描,我们需要先在HTTP history选项卡中,选择一个目标网站的请求,比如说,我们选择。一般来说,我们不需要修改这里的设置,因为它会自动从我们发送的请求中获取。
Burp Suite序列之目录扫描
xsq123的专栏
12-01 1604
通过以上五个步骤,我们就可以使用Burp Suite进行目录扫描了。Burp Suite不仅可以爆破账号密码,还可以用来爆破目录。使用Burp Suite进行目录扫描有以下优点:无需安装其他工具,只需打开Burp Suite即可无需手动输入网址和字典,只需在浏览器中访问目标网站即可无需切换工具,只需在Burp Suite中选择相应的模块即可可以与其他渗透测试工具协同工作,方便整合当然,Burp Suite也有一些缺点,比如说:需要付费才能使用完整功能需要一定的学习成本才能掌握。
kali 目录扫描工具
05-24
Kali Linux自带了很多目录扫描工具,以下是其中一些常用的工具: 1. Dirb:Dirb是一种目录扫描工具,它可以在Web服务器上扫描隐藏的文件和目录。它可以自动检测出Web服务器上的常见目录,并显示出所有可用的目录。 2. DirbusterDirbuster也是一种目录扫描工具,它可以使用字典攻击技术来查找Web服务器上的隐藏文件和目录。它可以检测出Web服务器上的常见目录,并显示出所有可用的目录。 3. Gobuster:Gobuster是一个快速且高效的目录扫描工具,它可以使用自定义字典来查找Web服务器上的隐藏文件和目录。它还可以通过多个线程进行并发扫描,以加快扫描速度。 4. WFuzz:WFuzz是一种Web应用程序扫描工具,它可以使用自定义字典来查找Web服务器上的隐藏文件和目录。它支持多线程、代理、SSL和cookie等功能。 这些工具都可以在Kali Linux中使用,你可以根据自己的需求选择其中一个进行使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值