常用的一些web目录扫描工具
2021-03-30 16:26
标签:支持 变量 扫描工具 调用 爬虫 sql注入 font 模糊 irb 常用的一些web目录扫描工具 0X00目录扫描工具的作用 网站目录和敏感文件扫描是网站测试中最基本的手段之一。如果通过该方法发现了网站后台,可以尝试暴库、SQL注入等方式进行安全测试;如果发现敏感目录或敏感文件,能帮我们获取如php环境变量、robots.txt、网站指纹等信息;如果扫描出了一些上传的文件,我们甚至可能通过上传功能(一句话恶意代码)获取网站的权限。 0X01目录扫描原理 通过请求返回的信息来判断当前目录或文件是否真实存在。网站后台扫描工具都是利用目录字典进行爆破扫描,字典越多,扫描到的结果也越多。 0X02工具介绍 1.DirBuster Kali Linux提供的目录扫描工具DirBuster支持全部的Web目录扫描方式。它既支持网页爬虫方式扫描,也支持基于字典暴力扫描,还支持纯暴力扫描。该工具使用Java语言编写,提供命令行(Headless)和图形界面(GUI)两种模式。其中,图形界面模式功能更为强大。用户不仅可以指定纯暴力扫描的字符规则,还可以设置以URL模糊方式构建网页路径。同时,用户还对网页解析方式进行各种定制,提高网址解析效率。 2.御剑 御剑是国内第一后台扫描神器,适合小白使用。 3.Webdirscan webdirscan是一个很简单的多线程Web目录扫描工具,它是使用Python语言编写的,主要调用了requests第三方库实现。大家可以看看它Github上面的代码,和本篇博客原理较为相似。 源代码:https://github.com/TuuuNya/webdirscan/ 将CMD命令行打开,进入webdirscan路径下,指定扫描任务。 4.Dirmap 它是一个高级web目录扫描工具,功能将会强于DirBuster、Dirsearch、cansina、御剑。详见:https://github.com/H4ckForJob/dirmap 以上便是常用的web目录扫描工具。有需要工具的可以留言博主。 常用的一些web目录扫描工具 标签:支持 变量 扫描工具 调用 爬虫 sql注入 font 模糊 irb 原文地址:https://www.cnblogs.com/L0ading/p/12590869.html
上一篇:一个完整的K8s事件json格式