ThinkChat2.0新版上线,更智能更精彩,支持会话、画图、阅读、搜索等,送10W Token,即刻开启你的AI之旅 广告
## 目录&后台扫描 常用工具 * 7kbscan https://github.com/7kbstorm/7kbscan-WebPathBrute * DirMap https://github.com/H4ckForJob/dirmap * dirsearch https://github.com/maurosoria/dirsearch * Fuzz-gobuster https://github.com/OJ/gobuster * Fuzz-dirbuster OWASP kali自带 * Fuzz-wfuzz https://github.com/xmendez/wfuzz * Test404轻量后台扫描器+v2.0 * 御剑 * 破壳Web极速扫描器 个人比较喜欢使用Fuzz大法,不管是目录扫描、后台扫描、Web漏洞模糊测试都是非常灵活的。这几款fuzz工具都比较好用 ~~~ 基于Go开发:gobuster 基于Java开发:dirbuster 基于Python开发:wfuzz ~~~ ### dirbuster(win) 功能介绍 DirBuster是一款路径及网页暴力破解的工具,可以破解出一直没有访问过或者管理员后台的界面路径。 部署指南:Java运行环境+DirBuster程序包 详细教程参见: https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project http://sourceforge.net/projects/dirbuster/ * 双击运行DirBuster.jar * 在URL中输入目标URL或者主机IP地址 * 在file with list of dirs/files 栏后点击browse,选择破解的字典库为directory-list-2.3-small.txt * 将File extension中填入正确的文件后缀,默认为php,如果为jsp页面,需要填入jsp * 其他选项不变,点击右下角的start,启动目录查找 * 观察返回结果,可点击右下角的report,生成目录报告 | 优点 | 缺点 | | --- | --- | | 敏感目录发掘能力强 | 程序运行线程小 | | OWASP安全机构极力推荐 | 探测目录依赖字典文件 | ### wfuzz(python) ![](https://qftm.github.io/Information_Collection_Handbook/sensitive_info/directory_backstage_scan/1594459-20200119155738473-643631035.png) 工具无论再多再好,没有一个好的字典一切都是空谈。强大字典是需要自己平时慢慢的积累。