В цій статті, я коротенько розповім про інструмент для Етичного хакінгу – DirBuster від OWASP
DirBuster – це потужний інструмент для сканування веб-додатків для виявлення прихованих директорій та файлів. Розроблений з акцентом на безпеку та тестування на проникнення, DirBuster надає унікальні можливості для виявлення потенційних вразливостей у веб-додатках. Інструмент ефективно використовується для аналізу конфігурації веб-серверів та виявлення слабких точок, які можуть бути використані зловмисниками.
Перейдемо до огляду інструменту для Етичного хакінгу – DirBuster
Для встановлення DirBuster на Windows, завантажте і встановіть програму на свій ПК https://sourceforge.net/projects/dirbuster/
Для Встановлення DirBuster на Linux, дотримуйтесь інструкції нижче (У Kali Linux він вже встановлений, але якщо ви використовуєте інший дистрибутив Linux, ось як його встановити.)
Крок 1: Запустіть термінал і Встановіть Git:
Крок 2: Перевірте, чи встановлена Java:
Крок 3: Встановіть Java:
Крок 4: Клонуйте репозиторій:
Крок 5: Перемістіть dirbuster до каталогу opt:
Крок 6: Створіть новий файл для псевдонімів (якщо у вас його ще немає):
Крок 7: Додайте у файл новий псевдонім:
Крок 8: Щоб зміни набрали чинності, перезапустіть термінал/SSH або виконайте команду:
Примітка:
Якщо запустите команду dirbuster з каталогу, відмінного від /opt/dirbuster, отримаєте повідомлення про помилку:
Помилка: неможливо отримати доступ до jarfile DirBuster-1.0-RC1.jar
Це пов’язано з тим, що скрипт шукає файл .jar у поточному каталозі, а не використовує повний шлях.
Виправлення:
Відкрийте файл /opt/dirbuster/DirBuster-1.0-RC1.sh і змініть другий рядок на:
Тепер перезапустіть сеанс терміналу і запустіть DirBuster у терміналі. Інструмент працюватиме з будь-якого місця.
Запускаємо DirBuster. Перед нами з’являється два вікна, термінал, та сам інструмент, для Етичного хакінгу – DirBuster, в терміналі буде відображатися хід сканування. Для початку сканування, нам потрібно в полі Target URL вказати URL або IP адресу цільового сайту.
Далі потрібно обрати кількість потоків (Number of Threads) для сканування, пам’ятайте про те, що чим більше потоків ви виставите, тим більше навантаження буде на ваш комп’ютер, а також те що велика кількість запитів з однієї IP може призвести до блокування цієї адреси, якщо цільовий сайт захищений належним чином.
Наступним кроком потрібно обрати список, згідно якого будуть перевірятись директорії, список можна завантажити з GitHub ( https://github.com/daviddias/node-dirbuster/tree/master/lists ) або скласти самостійно. Він повинен бути з розширенням .ТХТ
Наступним кроком нам потрібно виставити прапорці навпроти:
Brute Force Dirs (Брутфорс директорій):
- Автоматично перебирає можливі назви директорій на веб-сервері
- Використовує словник із потенційними назвами директорій
- Систематично перевіряє кожну назву, надсилаючи HTTP-запити
- Визначає існуючі директорії на основі HTTP-відповідей (зазвичай шукає коди 200 OK або 403 Forbidden)
Brute Force Files (Брутфорс файлів):
- Автоматично перебирає можливі назви файлів на веб-сервері
- Використовує словник із потенційними назвами файлів та розширеннями
- Систематично перевіряє кожну комбінацію імені файлу та розширення
- Визначає існуючи файли на основі HTTP-відповідей
Далі в полі File Extencion, ми можемо вписати які конкретно розширення ми маємо шукати (php, html), всі розширення пишемо через кому. І в кінці натискаємо Кнопку Start.
Після чого почнеться сканування і можна побачити процес сканування і в терміналі і у вікні DirBuster
Перемикаючись по вкладках інструменту можна бачити різну інформацію, наприклад які директорії, файли та їх розширення були знайдені і їх статус. Натискаючи правою кнопкою миші можна відкривати знайдені файли для їх перегляду.
На цьому, ознайомлення з інструментом для Етичного хакінгу – DirBuster, закінчено. Якщо у вас є запитання чи зауваження, ви можете задати їх в коментарях під цим постом, або написати їх у телеграм чаті IT Orakul.
