一、Web目录扫描原因
1、发现网站后台管理登录页面,可以尝试发现漏洞,进行爆破
2、寻找未授权页面,有些网站在开发时有一些没有授权的页面,在上线后没有及时清除,可以利用这个弱点进行入侵
3、寻找网站更多隐藏信息
二、Web目录扫描方法
1、robots.txt
例:可以看到哪些网站不被获取到,哪些网站可以获取到
2、搜索引擎
搜索引擎会爬取网站下的目录,不需要触碰网站任何防御设备
3、爆破
通过字典匹配网站,看是否返回正确的状态码,然后列出相应的目录
注:爆破可能会触碰网站的防御设备,造成IP封禁
工具:dirb、dirbuster、御剑
(1)dirb
dirb是一个Web内容扫描程序,通过字典查找WEB服务器的响应
注:dirb只能扫描网站目录,而不能扫描漏洞
(2)dirbuster
dirbuster是多线程java程序,主要扫描服务器上的目录和文件名,扫描方式为:基于字典和纯爆破,是OWASP下的开源项目,kali自带
这篇文章就写到这里了
