Web安全：目录扫描工具

gclome

原文链接：Web安全：目录扫描工具

目录扫描工具主要针对网站目录或者后台管理地址进行暴力猜解的工具。目录扫描工具有一个共同的特性：目录字典或者后台管理字典越强大，其扫描出的目录或者后台管理地址的数目就越多、越准确。以前的目录扫描工具有啊D注入工具（目录扫描模块）等，现在的目录扫描工具有御剑、DirBuster及wwwscan等。


1、御剑

御剑是一款针对网站目录及后台管理地址进行扫描的工具。该工具的开发思路其实是非常简单的，而工具里目录或者后台管理地址等的扫描用例才是一个黑客多年经验的结晶，如图1所示。
​

图1  御剑

2、DirBuster

DirBuster是OWASP（Open Web Application Security Project）开发的一款专门用于探测Web服务器目录及隐藏文件的，功能十分强大的工具。DirBuster最擅长目录的暴力猜解，因此，DirBuster一般都会发现一些目录浏览、目录遍历及目录穿越等漏洞，甚至还会发现一些后台管理地址等。DirBuster工具如图2所示。
​
图2  DirBuster

3、wwwscan

wwwscan是一款主要针对目录与后台管理地址进行扫描的工具，也是使用目录字典与后台管理字典进行暴力猜解式的扫描的工具。wwwscan有命令行与图形界面两种。个人还是比较喜欢使用命令行，如图3所示。
​
图3  wwwscan