常用的一些web目錄掃描工具

常用的一些web目錄掃描工具

0X00目錄掃描工具的作用

網站目錄和敏感文件掃描是網站測試中最基本的手段之一。如果通過該方法發現了網站后臺,可以嘗試暴庫、SQL注入等方式進行安全測試;如果發現敏感目錄或敏感文件,能幫我們獲取如php環境變量、robots.txt、網站指紋等信息;如果掃描出了一些上傳的文件,我們甚至可能通過上傳功能(一句話惡意代碼)獲取網站的權限。

0X01目錄掃描原理

通過請求返回的信息來判斷當前目錄或文件是否真實存在。網站后臺掃描工具都是利用目錄字典進行爆破掃描,字典越多,掃描到的結果也越多。

0X02工具介紹

1.DirBuster

Kali Linux提供的目錄掃描工具DirBuster支持全部的Web目錄掃描方式。它既支持網頁爬蟲方式掃描,也支持基于字典暴力掃描,還支持純暴力掃描。該工具使用Java語言編寫,提供命令行(Headless)和圖形界面(GUI)兩種模式。其中,圖形界面模式功能更為強大。用戶不僅可以指定純暴力掃描的字符規則,還可以設置以URL模糊方式構建網頁路徑。同時,用戶還對網頁解析方式進行各種定制,提高網址解析效率。

2.御劍

御劍是國內第一后臺掃描神器,適合小白使用。

3.Webdirscan

webdirscan是一個很簡單的多線程Web目錄掃描工具,它是使用Python語言編寫的,主要調用了requests第三方庫實現。大家可以看看它Github上面的代碼,和本篇博客原理較為相似。

源代碼:https://github.com/TuuuNya/webdirscan/

CMD命令行打開,進入webdirscan路徑下,指定掃描任務。

4.Dirmap

它是一個高級web目錄掃描工具,功能將會強于DirBuster、Dirsearch、cansina、御劍。詳見:https://github.com/H4ckForJob/dirmap

以上便是常用的web目錄掃描工具。有需要工具的可以留言博主。

posted @ 2020-03-29 09:18  L0ading  閱讀(1932)  評論(0編輯  收藏
最新chease0ldman老人