Iščete brezplačna orodja za oštevilčenje skritih imenikov in datotek na spletnem strežniku? Tu so najboljša orodja Linuxa za razbijanje imenikov.

Ključni zaključki

  • Razbijanje imenikov je bistvena tehnika pri etičnem hekanju za odkrivanje skritih imenikov in datotek na spletnem strežniku ali aplikaciji.
  • Linux ponuja več orodij za razbijanje imenikov, kot so DIRB, DirBuster, Gobuster, ffuf in dirsearch.
  • Ta orodja avtomatizirajo postopek pošiljanja zahtev HTTP spletnemu strežniku in ugibanja imen imenikov za iskanje virov, ki niso oglaševani v navigaciji ali zemljevidu spletnega mesta.

V fazi izvida vsakega pentesta spletne aplikacije je nujno najti možne imenike v aplikaciji. Ti imeniki lahko vsebujejo pomembne informacije in ugotovitve, ki bi vam lahko v veliko pomoč pri iskanju ranljivosti v aplikaciji in izboljšanju njene varnosti.

Na srečo so na internetu orodja, ki omogočajo lažjo, avtomatizirano in hitrejšo uporabo imenikov. Tukaj je pet orodij za razbijanje imenikov v Linuxu za oštevilčenje skritih imenikov v spletni aplikaciji.

instagram viewer

Kaj je razbijanje imenika?

Imenik poči, znana tudi kot "surovo vsiljevanje imenika", je tehnika, ki se uporablja pri etičnem hekanju za odkrivanje skritih imenikov in datotek na spletnem strežniku ali aplikaciji. Vključuje sistematično poskušanje dostopa do različnih imenikov z ugibanjem njihovih imen ali naštevanjem po seznamu skupnih imenikov in imen datotek.

Postopek razbijanja imenika običajno vključuje uporabo avtomatiziranih orodij ali skriptov, ki pošiljajo zahteve HTTP spletnemu strežniku, poskušajo različne imenike in imena datotek za iskanje virov, ki niso izrecno povezani ali oglaševani v navigaciji spletnega mesta ali zemljevid spletnega mesta.

V internetu je na voljo na stotine brezplačnih orodij za razbijanje imenikov. Tukaj je nekaj brezplačnih orodij, ki jih lahko uporabite pri naslednjem testu prodora:

1. NAPOTILO

DIRB je priljubljeno orodje ukazne vrstice Linux, ki se uporablja za skeniranje in bruteforce imenikov v spletnih aplikacijah. Našteje možne imenike s seznama besed glede na URL spletnega mesta.

DIRB je že nameščen na Kali Linux. Če pa ga nimate nameščenega, ni razloga za skrb. Za namestitev potrebujete preprost ukaz.

Za distribucije, ki temeljijo na Debianu, zaženite:

sudo apt install dirb

Za distribucije Linuxa, ki niso Debian, kot sta Fedora in CentOS, izvedite:

sudo dnf install dirb

V Arch Linuxu zaženite:

yay -S dirb

Kako uporabiti DIRB za bruteforce imenike

Sintaksa za izvajanje surovega vsiljevanja imenika v spletni aplikaciji je:

dirb [url] [path to wordlist]

Na primer, če bi uporabili bruteforce https://example.com, to bi bil ukaz:

dirb https://example.com wordlist.txt

Ukaz lahko zaženete tudi brez podajanja seznama besed. DIRB bi uporabil svojo privzeto datoteko s seznamom besed, skupno.txt, za skeniranje spletne strani.

dirb https://example.com

2. DirBuster

DirBuster je zelo podoben DIRB. Glavna razlika je v tem, da ima DirBuster grafični uporabniški vmesnik (GUI) za razliko od DIRB, ki je orodje ukazne vrstice. DIRB vam omogoča, da konfigurirate bruteforce skeniranje imenika po svojem okusu in filtrirate rezultate po statusni kodi in drugih zanimivih parametrih.

Nastavite lahko tudi število niti, ki določajo hitrost, s katero želite, da se pregledi izvajajo, in posebne datotečne pripone, za katere želite, da aplikacija išče namesto vas.

Vse kar morate storiti je, da vnesete ciljni URL, ki ga želite skenirati, seznam besed, ki ga želite uporabiti, datotečne pripone in število niti (neobvezno), nato kliknite Začetek.

Ko skeniranje napreduje, bo DirBuster prikazal odkrite imenike in datoteke v vmesniku. Ogledate si lahko status vsake zahteve (npr. 200 OK, 404 Ni najdeno) in pot do odkritih elementov. Rezultate skeniranja lahko tudi shranite v datoteko za nadaljnjo analizo. To bi pomagalo dokumentirati vaše ugotovitve.

DirBuster je nameščen na Kali Linux, vendar lahko preprosto namestite DirBuster na Ubuntu.

3. Gobuster

Gobuster je orodje ukazne vrstice, napisano v Go, ki se uporablja za bruteforce imenikov in datotek na spletnih mestih, odpiranje veder Amazon S3, poddomen DNS, imen navideznih gostiteljev na ciljnih spletnih strežnikih, strežnikih TFTP itd.

Če želite namestiti Gobuster na distribucije Linuxa Debian, kot je Kali, zaženite:

sudo apt install gobuster

Za družino RHEL distribucij Linuxa zaženite;

sudo dnf install gobuster

V Arch Linuxu zaženite:

yay -S gobuster

Druga možnost je, če imate nameščen Go, zaženite:

go install github.com/OJ/gobuster/v3@latest

Kako uporabljati Gobuster

Sintaksa za uporabo Gobusterja za bruteforce imenikov v spletnih aplikacijah je:

gobuster dir -u [url] -w [path to wordlist]

Na primer, če želite vklopiti imenike z bruteforce https://example.com, ukaz bi izgledal takole:

gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. ffuf

ffuf je zelo hiter spletni fuzzer in orodje za brutalno vsiljevanje imenikov, napisano v Go. Je zelo vsestranski in še posebej znan po svoji hitrosti in enostavni uporabi.

Ker je ffuf napisan v Go, morate imeti Go 1.16 ali novejšo nameščeno na vašem računalniku z Linuxom. Preverite svojo različico Go s tem ukazom:

go version

Če želite namestiti ffuf, zaženite ta ukaz:

go install github.com/ffuf/ffuf/v2@latest

Lahko pa klonirate repozitorij github in ga prevedete s tem ukazom:

git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build

Kako uporabiti ffuf za imenike Bruteforce

Osnovna sintaksa za surovo vsiljevanje imenika s ffuf je:

ffuf -u [URL/FUZZ] -w [path to wordlist]

Na primer za skeniranje https://example.com, ukaz bi bil:

ffuf -u https://example.com/FUZZ -w wordlist.txt

5. dirsearch

dirsearch je še eno surovo orodje ukazne vrstice, ki se uporablja za oštevilčenje imenikov v spletni aplikaciji. Še posebej je všeč zaradi svojega barvitega izpisa, čeprav je aplikacija, ki temelji na terminalu.

Dirsearch lahko namestite prek pip tako, da zaženete:

pip install dirsearch

Ali pa lahko klonirate repozitorij GitHub tako, da zaženete:

git clone https://github.com/maurosoria/dirsearch.git --depth 1

Kako uporabiti dirsearch za Bruteforce Imenike

Osnovna sintaksa za uporabo dirsearch za bruteforce imenikov je:

dirsearch -u [URL]

Za surovo vklop imenikov https://example.com, vse kar morate storiti je:

dirsearch -u https://example.com

Nobenega dvoma ni, da vam bodo ta orodja prihranila veliko časa, ki bi ga porabili za ročno ugibanje teh imenikov. V kibernetski varnosti je čas veliko bogastvo, zato vsak strokovnjak izkoristi prednosti odprtokodnih orodij za optimizacijo svojih dnevnih procesov.

Obstaja na tisoče brezplačnih orodij, zlasti v Linuxu, da bo vaše delo učinkovitejše, vse kar morate storiti je, da raziščete in izberete tisto, kar vam ustreza!