收集web敏感目录文件-扫网站后台

在渗透测试中,探测web目录结构与隐藏的敏感文件是一个必不可少的环节,从中可以获取网站的后台管理页面、文件上传界面,甚至可能扫出网站的源代码。今天,马会社区( mahui.org )带来的是《收集web敏感目录文件-扫网站后台》。希望对大家有所帮助。

一、敏感目录

敏感目录文件,一旦被发现,就有着被攻破的风险,比如得知我们的后台登录页面,那么就可以通过暴力破解的形式来入侵网站后台,获取后台权限后,如果有上传功能,那么服务器很可能会被植入一句话木马程序,从而导致网站被黑,被不法人做劫持跳转等操作,从而导致网站降权。

二、扫网站目录程序

针对探测网站目录有不少程序,比如DirBuster、御剑后台扫描珍藏版、wwwscan、Spinder.py、Sensitivefilescan、weakfiles等。除了程序外,还可以使用在线扫描,如webscan

DirBuster
DirBuster

kali自带的字典需要我们点击Browse后根据这个路径来查找:

/usr/share/dirbuster/wordlists/directory-list-2.3-small.txt

然后慢慢等待即可,如下图所示界面:

DirBuster
DirBuster

以上就是马会社区( mahui.org )带来的是《收集web敏感目录文件-扫网站后台》。感谢您的阅读。

mahui.org 原创文章,仅限技术研究。发布者:马会,转转请注明出处:https://mahui.org/tech/2108.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注