常⽤的⼀些web⽬录扫描⼯具
常⽤的⼀些web⽬录扫描⼯具
0X00⽬录扫描⼯具的作⽤
⽹站⽬录和敏感⽂件扫描是⽹站测试中最基本的⼿段之⼀。如果通过该⽅法发现了⽹站后台,可以尝试暴库、SQL注⼊等⽅式进⾏安全测试;如果发现敏感⽬录或敏感⽂件,能帮我们获取如php环境变量、、⽹站指纹等信息;如果扫描出了⼀些上传的⽂件,我们甚⾄可能通过上传功能(⼀句话恶意代码)获取⽹站的权限。html实现用户注册登录代码
0X01⽬录扫描原理
通过请求返回的信息来判断当前⽬录或⽂件是否真实存在。⽹站后台扫描⼯具都是利⽤⽬录字典进⾏爆破扫描,字典越多,扫描到的结果也越多。
0X02⼯具介绍
1.DirBuster
Kali Linux提供的⽬录扫描⼯具DirBuster⽀持全部的Web⽬录扫描⽅式。它既⽀持⽹页爬⾍⽅式扫描,也⽀持基于字典暴⼒扫描,还⽀持纯暴⼒扫描。该⼯具使⽤Java语⾔编写,提供命令⾏(Headless)和图形界⾯(GUI)两种模式。其中,图形界⾯模式功能更为强⼤。⽤户不仅可以指定纯暴⼒扫描的字符规则,还可以设置以URL模糊⽅式构建⽹页路径。同时,⽤户还对⽹页解析⽅式进⾏各种定制,提⾼⽹址解析效率。
2.御剑
御剑是国内第⼀后台扫描神器,适合⼩⽩使⽤。
3.Webdirscan
webdirscan是⼀个很简单的多线程Web⽬录扫描⼯具,它是使⽤Python语⾔编写的,主要调⽤了requests第三⽅库实现。⼤家可以看看
它Github上⾯的代码,和本篇博客原理较为相似。
将CMD命令⾏打开,进⼊webdirscan路径下,指定扫描任务。
4.Dirmap
以上便是常⽤的web⽬录扫描⼯具。有需要⼯具的可以留⾔博主。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。