常用的一些web目录扫描工具

Posted l0ading

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了常用的一些web目录扫描工具相关的知识,希望对你有一定的参考价值。

常用的一些web目录扫描工具

0X00目录扫描工具的作用

网站目录和敏感文件扫描是网站测试中最基本的手段之一。如果通过该方法发现了网站后台,可以尝试暴库、SQL注入等方式进行安全测试;如果发现敏感目录或敏感文件,能帮我们获取如php环境变量、robots.txt、网站指纹等信息;如果扫描出了一些上传的文件,我们甚至可能通过上传功能(一句话恶意代码)获取网站的权限。

0X01目录扫描原理

通过请求返回的信息来判断当前目录或文件是否真实存在。网站后台扫描工具都是利用目录字典进行爆破扫描,字典越多,扫描到的结果也越多。

0X02工具介绍

1.DirBuster

Kali Linux提供的目录扫描工具DirBuster支持全部的Web目录扫描方式。它既支持网页爬虫方式扫描,也支持基于字典暴力扫描,还支持纯暴力扫描。该工具使用Java语言编写,提供命令行(Headless)和图形界面(GUI)两种模式。其中,图形界面模式功能更为强大。用户不仅可以指定纯暴力扫描的字符规则,还可以设置以URL模糊方式构建网页路径。同时,用户还对网页解析方式进行各种定制,提高网址解析效率。

2.御剑

御剑是国内第一后台扫描神器,适合小白使用。

3.Webdirscan

webdirscan是一个很简单的多线程Web目录扫描工具,它是使用Python语言编写的,主要调用了requests第三方库实现。大家可以看看它Github上面的代码,和本篇博客原理较为相似。

源代码:https://github.com/TuuuNya/webdirscan/

CMD命令行打开,进入webdirscan路径下,指定扫描任务。

4.Dirmap

它是一个高级web目录扫描工具,功能将会强于DirBuster、Dirsearch、cansina、御剑。详见:https://github.com/H4ckForJob/dirmap

以上便是常用的web目录扫描工具。有需要工具的可以留言博主。

以上是关于常用的一些web目录扫描工具的主要内容,如果未能解决你的问题,请参考以下文章

web安全常用工具

huTool--工具类常用方法

渗透测试工具实战技巧合集

web安全最亲密的战友Burp Suite—网络攻防常用工具介绍--burp suit工具初体验一

前端设计师常用的一些基础工具素材合集

目录本质,硬链接与软连接,常用的一些小命令