zoukankan      html  css  js  c++  java
  • 『安全工具』目录扫描 DirBuster AND 御剑

        要想熟悉目标网站的体系架构,知道网站有哪些目录是必不可少的

        向AWVS,Burp类大型扫描工具也可以进行目录扫描,不过个人感觉远没有专业扫描工具来的简单,实在

    0x 01 DirBuster

      简介:DirBuster是Owasp(开放Web软体安全项目- Open Web Application Security Project )开发的一款专门用于探测Web服务器的目录和隐藏文件。

             由于使用Java编写,电脑中要装有JDK才能运行。

      1. 配置说明

          点击Options—Advanced Options打开如下配置界面

          

          在这里可以设置不扫描文件类型,设置遇到表单自动登录,增加HTTP头(Cookie……),

          以及代理设置,超时链接设置,默认线程,字典,扩展名设置

          有时间的小伙伴自己捣鼓捣鼓 ,这里不多说了

      2. 扫描测试

        本地搭建了一个Dede站,直接开撸

        

        在第4步中也可以选择纯暴力破解模式,命中率不高,相比之下还是模糊测试好用些

        (坏笑~)上面有一个小错误,在第7步的时候,扫目标站下的目录应该填写/DedeCms5.7/{dir} 不知道细心的小伙伴发现了没~

        否则的话扫的就是127.0.0.1:8080下的目录了

      3. 扫描结果

        这是本地扫描目录列表,点击TreeView可以自己查看目录树

        

          

    0x 02 御剑

      国内第一后台扫描神器

        不用配置,填上网站,只需要点一下就够了,上图 

        

        简单粗暴,果然还是御剑符合吾等小菜菜使用,期待御剑的其他作品。

        Summary:

        前面文章已经说过了,对于目录扫描我们可以手动查看robots.txt,说不定后台就放在里面。

        还是那句话,一个扫描器扫描结果不理想时,我们大可以两个扫描器一起上。工具是死的,要学会灵活使用 !

        

      

       Please see it:

        无特殊说明,文章版权说明归Anka9080所有

        尊重作者,转载请以明文链接标注原文地址

        互联网安全博客地址 www.cnblogs.com/anka9080

  • 相关阅读:
    DevExpress ASP.NET v19.1版本亮点:Pivot Grid等控件
    .NET界面控件DevExpress全新发布v19.1.5|改进Office 2019主题
    Kendo UI for jQuery使用教程:操作系统/jQuery支持等
    Web安全篇之SQL注入攻击
    SQL Server中timestamp(时间戳)和rowversion(版本戳)
    PyCharm2019 激活码
    性能测试 vs 负载测试 vs 压力测试
    一套完整的压力测试项目文档
    Visual Studio性能计数器,负载测试结果分析- Part III
    Visual Studio进行负载测试,RIG和负载测试术语- Part II
  • 原文地址:https://www.cnblogs.com/anka9080/p/mlsm.html
Copyright © 2011-2022 走看看