一、DirBuster简介
DirBuster是一个多线程的基于Java的应用程序设计用于暴力破解Web 应用服务器上的目录名和文件名的工具 。
二、DirBuster界面功能
1.常用的基本配置
Word Method:使用GET方式即可,否则Dirbuster会向目标应用系统发出两次请求,浪费资源。
Select scanning type:一般使用自定义字典,提高扫描命中率;有特殊需求时才使用暴力穷举字典的进行扫描。
Follow Redirects:跟随跳转当HTTP Response返回301/302跳转请求时,DirBuster会跟随跳转进行扫描。
Parse HTML:提取标签的URL,DirBuster会进行收集,跟进收集。
Custom HTTP Headers:可添加Session ID的Cookie信息,保持在登录的状态下扫描。
Http User Agent:浏览器信息,设置为Chrome或其它浏览器,可躲避安全设备的检测。
2.高级配置
Fail Case String:失败的字符例子,一般可以去掉,可躲避安全设备的检测。
Limit number of requests per second:请求时间间隔,当目标应用系统的性能较低时,可调节试参数,减低服务器的压力。
3.扫描结果
Report:根据自己的需求导出不同的文件。
三、我的常用扫描方式
扫描完成后:需要关注状态码及扫描出来的结果。
手握日月摘星辰,安全路上永不止步。
- Khan攻防安全实验室
本文始发于微信公众号(Khan安全攻防实验室):模糊测试之DirBuster
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论