目录扫描工具 DirBuster | 御剑

要想熟悉目标网站的体系架构,知道网站有哪些目录是必不可少的
向AWVS,Burp类大型扫描工具也可以进行目录扫描,不过个人感觉远没有专业扫描工具来的简单,实在

DirBuster

DirBuster是Owasp(开放Web软体安全项目- Open Web Application Security Project )开发的一款专门用于探测Web服务器的目录和隐藏文件。

由于使用Java编写,电脑中要装有JDK才能运行。

配置说明

点击Options—Advanced Options打开如下配置界面

1

在这里可以设置不扫描文件类型,设置遇到表单自动登录,增加HTTP头(Cookie……),
以及代理设置,超时链接设置,默认线程,字典,扩展名设置
有时间的小伙伴自己捣鼓捣鼓 ,这里不多说了

扫描测试

本地搭建了一个Dede站,直接开撸

2

在第4步中也可以选择纯暴力破解模式,命中率不高,相比之下还是模糊测试好用些

(坏笑~)上面有一个小错误,在第7步的时候,扫目标站下的目录应该填写/DedeCms5.7/{dir} 不知道细心的小伙伴发现了没~

否则的话扫的就是127.0.0.1:8080下的目录了

扫描结果

这是本地扫描目录列表,点击TreeView可以自己查看目录树

3

御剑后台扫描

国内第一后台扫描神器

4

不用配置,填上网站,只需要点一下就够了,上图
简单粗暴,果然还是御剑符合吾等小菜菜使用,期待御剑的其他作品。

前面文章已经说过了,对于目录扫描我们可以手动查看robots.txt,说不定后台就放在里面。
还是那句话,一个扫描器扫描结果不理想时,我们大可以两个扫描器一起上。工具是死的,要学会灵活使用 !