信息收集之目录扫描-dirbuster

注意：仅用于技术讨论，切勿用于其他用途，一切后果与本人无关。

1.目录扫描的作用

        探测网站的结构，可以扫到敏感文件、后台文件、数据库文件、和泄露信息的文件

2.常见的目录信息泄露

        a.目录遍历漏洞：(前端数据包传输的时候没有验证可能会出现)

                原理:程序在实现上没有充分过滤用户输入的../之类的目录跳转符，导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件

        b.敏感信息泄露：

                由于后台人员的疏忽或者不当的设计，导致不应该被前端用户看到的数据被轻易的访问到                        

                1.通过访问url可以直接

                2.输入错误的url参数后，错误信息中可能有操作系统中间件等信息

        c.前端的源码里面包含敏感信息

3.常见的源码泄露案例

Web源码泄露浅析

4.目录扫描工具-dirbuster

        一、robots.txt

                网站内的robots.txt文件

        二、目录爆破

                御剑        nikto        dirbuster        webdirscan...

        三、第三方资源引用

                Js        SDK

DirBuster

        owasp项目，dirbuster是一个多线程的基于java的应用程序设计用于暴力破解web应用服务器上的目录名和文件名的工具

具体操作步骤如下：

1.URL设置；

2.线程数设置；

3.选择爆破字典；

4.取消选择递归查询；

5.开始运行

优点可以扫出网站的结构，就非常的好

https://habo.qq.com/

里面应用可以对后门程序进行扫描