网络安全——Web目录扫描

一、Web目录扫描原因

1、发现网站后台管理登录页面，可以尝试发现漏洞，进行爆破

2、寻找未授权页面，有些网站在开发时有一些没有授权的页面，在上线后没有及时清除，可以利用这个弱点进行入侵

3、寻找网站更多隐藏信息

二、Web目录扫描方法

1、robots.txt

例：可以看到哪些网站不被获取到，哪些网站可以获取到

2、搜索引擎

搜索引擎会爬取网站下的目录，不需要触碰网站任何防御设备

3、爆破

通过字典匹配网站，看是否返回正确的状态码，然后列出相应的目录

注：爆破可能会触碰网站的防御设备，造成IP封禁

工具：dirb、dirbuster、御剑

（1）dirb

dirb是一个Web内容扫描程序，通过字典查找WEB服务器的响应

注：dirb只能扫描网站目录，而不能扫描漏洞

（2）dirbuster

dirbuster是多线程java程序，主要扫描服务器上的目录和文件名，扫描方式为：基于字典和纯爆破，是OWASP下的开源项目，kali自带

这篇文章就写到这里了