1. 目錄掃描的作用
1.1 文件目錄
文件目錄是指:為實現“按名存取”,必須建立文件名與輔存空間中物理地址的對應關系,體現這種對應關系的數據結構稱為文件目錄
1.2 目錄掃描
目錄掃描可以讓我們發現這個網站存在多少個目錄,多少個頁面,探索出網站的整體結構。
通過目錄掃描我們還能掃描敏感文件,后台文件,數據庫文件,和信息泄漏文件等等
2. 常見的目錄信息泄漏
2.1 目錄遍歷漏洞
目錄遍歷是由於web服務器或者web應用程序對用戶輸入的文件名稱的安全性驗證不足而導致的一種安全漏洞,使得攻擊者通過利用一些特殊字符就可以繞過服務器的安全限制,訪問任意的文件(可以使web根目錄以外的文件),甚至執行系統命令
目錄遍歷漏洞原理
程序在實現上沒有充分過濾用戶輸入的 ../ 之類的目錄跳轉符,導致惡意用戶可以通過提交目錄跳轉來遍歷服務器上的任意文件
2.2 敏感信息泄漏
由於后台人員的疏忽或者不當的設計,導致不應該被前端用戶看到的數據被輕易的訪問到
比如:
——通過訪問url 下的目錄,可以之間列出目錄下的文件列表
——輸入錯誤的 url 參數后報錯信息里面包含操作系統,中間件,開發語言的版本或者其他信息;(SQL注入)
——前端的源碼(html,css,js)里面包含了敏感信息,比如后台登錄地址,內網接口信息,甚至賬號密碼等
3. 常見的源碼泄漏案例
目錄遍歷
當沒有默認網頁時,就會在網站上顯示web服務器 用戶列表中的文件和目錄,因此,apache服務器上面默認文件名為index.php,當沒有上傳index.php 時,服務器就會將文件夾中的內容全部展示出來
web源碼泄漏案例:https://www.sohu.com/a/192064346_653604
4. 目錄掃描工具dirbuster
4.1 常見的目錄掃描方式
- robots.txt ——>網站內的robots文件
- 目錄爆破 ——>御劍,nikto,dirbuster,webdirscan……
- 第三方資源引用——>Js,SDK
4.2 dirbuster
他是用來探測web目錄結構和隱藏的敏感文件的
下載地址:https://sourceforge.net/projects/dirbuster/files/
需要有Java環境
windows 雙擊 DirBuster.jar啟動軟件
Linux 用戶在終端執行 ./DirBuster-1.0-RC1.sh,若腳本無執行權限用chmod + x ./DirBuster-1.0-RC1.sh添加權限
工具說明
Owasp項目
dirbuster 是一個多線程的基於Java的應用程序設計,用於暴力破解Web應用服務器上的目錄名和文件名
如何工作的
dirbuster 是一種履帶式和粗暴式的混合物,他遵循它找到的頁面中的所有鏈接,但也為可能的文件嘗試不同的名稱。這些名稱可能位於與我們使用的文件類似的文件中,也可能由dirbuster 使用暴力破解確定文件是否存在,dirbuster 使用服務器的響應代碼,常見的響應代碼如下:
- 200 ok:文件存在
- 404 找不到404文件:這是重定向到給定的URL
- 401 Unauthorized :訪問此文件需要身份認證
- 403 Forbidden: 請求有效但服務器拒絕響應
操作步驟
- URL設置
- 線程數設置
- 選擇爆破字典
- 取消選擇遞歸查詢
- 開始運行