网络安全——Web目录扫描

一、Web目录扫描原因

1、发现网站后台管理登录页面,可以尝试发现漏洞,进行爆破

2、寻找未授权页面,有些网站在开发时有一些没有授权的页面,在上线后没有及时清除,可以利用这个弱点进行入侵

3、寻找网站更多隐藏信息

二、Web目录扫描方法

1、robots.txt

网络安全——Web目录扫描_第1张图片

 例:可以看到哪些网站不被获取到,哪些网站可以获取到

网络安全——Web目录扫描_第2张图片

 2、搜索引擎

搜索引擎会爬取网站下的目录,不需要触碰网站任何防御设备

网络安全——Web目录扫描_第3张图片

 3、爆破

通过字典匹配网站,看是否返回正确的状态码,然后列出相应的目录

注:爆破可能会触碰网站的防御设备,造成IP封禁

工具:dirb、dirbuster、御剑

(1)dirb

dirb是一个Web内容扫描程序,通过字典查找WEB服务器的响应

注:dirb只能扫描网站目录,而不能扫描漏洞

网络安全——Web目录扫描_第4张图片

网络安全——Web目录扫描_第5张图片

 (2)dirbuster

dirbuster是多线程java程序,主要扫描服务器上的目录和文件名,扫描方式为:基于字典和纯爆破,是OWASP下的开源项目,kali自带

网络安全——Web目录扫描_第6张图片

网络安全——Web目录扫描_第7张图片

 


这篇文章就写到这里了

你可能感兴趣的:(网络安全,web安全,安全)