简单介绍

扫目录:使用字典对目录进行爆破,探测可能存在的文件夹或文件。
接口:JS代码/网页注释中含有很多链接,其中一些链接很难通过扫目录发现。

1.JSFinder(极力推荐)
能快速获取网站Js链接,并支持子域名收集
地址:https://github.com/Threezh1/JSFinder
81926-5fqfne3tzjc.png

2.御剑扫描
60433-djnhx3ic3de.png

3.dirsearch
也非常好用,很快(最好使用自己的字典)
99879-adf8w90aa8d.png

利用方式

通过目录扫描可能找到后台登陆地址、敏感页面/文件等,工具差异性并不大,能否扫出重要的目录信息主要看字典。
通过接口收集可能找到一些敏感的页面或数据,从而直接发现漏洞或进一步利用。

本文由 wulaoban 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

还不快抢沙发

添加新评论