目錄掃描原因
尋找到網站后臺管理
尋找未授權界面
尋找網站更多隱藏信息

目錄掃描方法

robots.txt

Robots協議 （Robots Exclusion Protocol）
“網絡爬蟲排除標準”，網站通過Robots協議告訴搜索引擎哪些頁面可以抓取，哪些頁面不能抓取。同時也記錄網站所具有基本的目錄

搜索引擎

搜索引擎會爬取網站下目錄，并且不需要觸碰網站任何防御設備
語法：site:sangfor.com.cn

爆破

通過字典匹配網站是否返回相應正確狀態碼，然后列出存在的目錄爆破可能會觸發網站防火墻攔截規則，造成IP封禁

爆破一工具
dirb、dirbuster、御劍

爆破-DIRB
DIRB是一個Web內容掃描程序
通過字典查找WEB服務器的響應
DRIB只能掃描網站目錄不能掃描漏洞

參數:

-a 設置User-Agent,(Default is:"Mozilla/4.0 (compatible;MSIE

6.0;Windows NT 5.1)")

-X XXX在每個詞后增加XXX后綴,比如“.html”、“php”

-z number延遲多少毫秒后,再發包。比如間隔1秒發包,-z 1000

-b不掃描../或者./

-c設置Cookie

-E設置證書文件

-o outfile file保存掃描文件

爆破-dirbuster
DirBuster多線程Java應用程序
? 主要掃描服務器上的目錄和文件名
? 掃描方式分為基于字典和純爆破
? OWASP下開源項目

爆破一dirbuster

字典爆破使用步驟:

Target URL輸入URL,格式按照eg輸入

work method選擇Auto Switch

Number of Threads根據環境設定

select scaning type選擇List based

brute force

File with list of dirs,/files點擊browse

選擇字典文件

select starting options選擇URL fuzz

URL to fuzz輸入/{dir}

start

總結

以上是生活随笔為你收集整理的信息收集——Web目录扫描的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。