网络安全工程师与白帽子黑客教你：通过dirsearch脚本扫描和收集网站敏感文件实战

网络安全工程师与白帽子黑客教你：通过dirsearch脚本扫描和收集网站敏感文件实战

一、背景介绍dirsearch是一个基于python的命令行工具，旨在暴力扫描页面结构，包括网页中的目录和文件。dirsearch拥有以下特点：多线程、可保持连接、支持多种后缀（-e|–extensions asp,php）、生成报告（纯文本，JSON）、启发式检测无效的网页、递归的暴力扫描、支持HTTP代理、用户代理随机化、批量处理、请求延迟、扫描器与字典、字典必须是文本文件，除了使用特殊的％EXT％之外，其余每行都会被处理。网站敏感信息包括如下： 后台目录：弱口令，万能密码，爆破安装包：获取数据库信息，甚至是网站源码上传目录：截断、上传图片马等mysql管理接口：弱口令、爆破，万能密码，然后脱裤，甚至是拿到shell安装页面 ：可以二次安装进而绕过phpinfo：会把你配置的各种信息暴露出来编辑器：fck、ke、等iis短文件利用：条件比较苛刻 windows、apache等提到了网站敏感目录我们就不得不提 robots.txt 文件了robots.txt 文件是专门针对搜索引擎机器人robot 编写的一个纯文本文件。我们可以在这个文件中指定网站中不想被robot访问的目录。这样，我们网站的部分或全部内容就可以不被搜索引擎收录了，或者让搜索引擎只收录指定的内容。因此我们可以利用robots.txt让Google的机器人访问不了我们网站上的重要文件，GoogleHack的威胁也就不存在了。

二、资源装备1.安装好Kali Linux的虚拟机一台；2.主机虚拟机一个；3.整装待发的小白一个。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。