模糊测试之DirBuster

一、DirBuster简介

DirBuster是一个多线程的基于Java的应用程序设计用于暴力破解Web 应用服务器上的目录名和文件名的工具 。

二、DirBuster界面功能

1.常用的基本配置

Word Method：使用GET方式即可，否则Dirbuster会向目标应用系统发出两次请求，浪费资源。

Select scanning type：一般使用自定义字典，提高扫描命中率；有特殊需求时才使用暴力穷举字典的进行扫描。

Follow Redirects：跟随跳转当HTTP Response返回301/302跳转请求时，DirBuster会跟随跳转进行扫描。

Parse HTML：提取标签的URL，DirBuster会进行收集，跟进收集。

Custom HTTP Headers：可添加Session ID的Cookie信息，保持在登录的状态下扫描。

Http User Agent：浏览器信息，设置为Chrome或其它浏览器，可躲避安全设备的检测。

2.高级配置

Fail Case String：失败的字符例子，一般可以去掉，可躲避安全设备的检测。

Limit number of requests per second：请求时间间隔，当目标应用系统的性能较低时，可调节试参数，减低服务器的压力。

3.扫描结果

Report：根据自己的需求导出不同的文件。

三、我的常用扫描方式

扫描完成后：需要关注状态码及扫描出来的结果。