信息收集 | 目录与接口收集及利用方式
信息收集 | 目录与接口收集及利用方式
Timeline Sec
发布于 2020-02-16 19:21:12
发布于 2020-02-16 19:21:12
声明:文章仅供学习参考,请勿用作非法途径,否则后果自负。
02
简单介绍
扫目录:使用字典对目录进行爆破,探测可能存在的文件夹或文件。
接口:JS代码/网页注释中含有很多链接,其中一些链接很难通过扫目录发现。
02
收集方式
1
Dirsearch
地址: https://github.com/maurosoria/dirsearch
2
Dirmap
地址: https://github.com/H4ckForJob/dirmap
3
7kbscan
地址: https://github.com/7kbstorm/7kbscan-WebPathBrute
4
御剑
暂不提供下载方式
5
JSFinder
地址: https://github.com/Threezh1/JSFinder
6
LinkFinder
地址: https://github.com/GerbenJavado/LinkFinder
02
利用方式
- 通过目录扫描可能找到后台登陆地址、敏感页面/文件等,工具差异性并不大,能否扫出重要的目录信息主要看字典。
- 通过接口收集可能找到一些敏感的页面或数据,从而直接发现漏洞或进一步利用。
1
字典推荐
地址: https://github.com/fuzzdb-project/fuzzdb https://github.com/TheKingOfDuck/fuzzDicts https://github.com/rootphantomer/Blasting_dictionary
本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2020-02-07,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读