Bir web sunucusundaki gizli dizinleri ve dosyaları numaralandırmak için kullanımı ücretsiz araçlar mı arıyorsunuz? İşte dizin patlaması için en iyi Linux araçları.

Temel Çıkarımlar

  • Dizin patlaması, bir web sunucusu veya uygulamadaki gizli dizinleri ve dosyaları keşfetmek için etik korsanlıkta temel bir tekniktir.
  • Linux, dizin patlaması için DIRB, DirBuster, Gobuster, ffuf ve dirsearch gibi çeşitli araçlar sunar.
  • Bu araçlar, bir web sunucusuna HTTP istekleri gönderme ve web sitesinin navigasyonunda veya site haritasında tanıtılmayan kaynakları bulmak için dizin adlarını tahmin etme sürecini otomatikleştirir.

Her web uygulaması pentestinin keşif aşamasında, uygulama üzerindeki olası dizinleri bulmak esastır. Bu dizinler, uygulamadaki güvenlik açıklarını bulmanıza ve güvenliğini artırmanıza büyük ölçüde yardımcı olacak önemli bilgiler ve bulgular içerebilir.

Şans eseri, internette dizin kaba kuvvetini daha kolay, otomatik ve daha hızlı hale getiren araçlar var. İşte bir web uygulamasındaki gizli dizinleri numaralandırmak için Linux'ta beş dizin patlatma aracı.

instagram viewer

Dizin Patlaması Nedir?

Dizin patlaması"dizin kaba zorlama" olarak da bilinen, bir web sunucusu veya uygulamadaki gizli dizinleri ve dosyaları keşfetmek için etik korsanlıkta kullanılan bir tekniktir. Adlarını tahmin ederek veya ortak dizinler ve dosya adlarını listeleyerek farklı dizinlere sistematik olarak erişmeye çalışmayı içerir.

Dizin patlatma işlemi, tipik olarak, bir web sunucusuna HTTP istekleri gönderen otomatik araçlar veya betikler kullanmayı içerir. web sitesinin navigasyonunda açıkça bağlantılı olmayan veya reklamı yapılmayan kaynakları bulmak için farklı dizinler ve dosya adları veya site haritası.

Dizin patlamasını gerçekleştirmek için internette yüzlerce ücretsiz araç bulunmaktadır. Bir sonraki penetrasyon testinizde kullanabileceğiniz bazı ücretsiz araçlar:

1. DİRB

DIRB, web uygulamalarındaki dizinleri taramak ve bruteforce yapmak için kullanılan popüler bir Linux komut satırı aracıdır. Bir web sitesi URL'sine karşı bir kelime listesindeki olası dizinleri sıralar.

DIRB, Kali Linux'ta zaten kurulu olarak gelir. Ancak, yüklemediyseniz, endişelenecek bir şey yok. Yüklemek için basit bir komuta ihtiyacınız var.

Debian tabanlı dağıtımlar için şunu çalıştırın:

sudo apt install dirb

Fedora ve CentOS gibi Debian olmayan Linux dağıtımları için şunu yürütün:

sudo dnf install dirb

Arch Linux'ta şunu çalıştırın:

yay -S dirb

DIRB'yi Bruteforce Dizinlerinde Kullanma

Bir web uygulamasında dizin kaba zorlama gerçekleştirme sözdizimi şöyledir:

dirb [url] [path to wordlist]

Örneğin, kaba kuvvet yapacak olsaydınız https://example.com, bu komut olurdu:

dirb https://example.com wordlist.txt

Komutu bir kelime listesi belirtmeden de çalıştırabilirsiniz. DIRB, varsayılan wordlist dosyasını kullanır, ortak.txt, web sitesini taramak için.

dirb https://example.com

2. DirBuster

DirBuster, DIRB'ye çok benzer. En büyük fark, DirBuster'ın bir komut satırı aracı olan DIRB'den farklı olarak bir grafik kullanıcı arayüzüne (GUI) sahip olmasıdır. DIRB, bruteforce taramaları dizini zevkinize göre yapılandırmanıza ve sonuçları durum koduna ve diğer ilginç parametrelere göre filtrelemenize olanak tanır.

Taramaların çalışmasını istediğiniz hızı ve uygulamanın sizi aramasını istediğiniz belirli dosya uzantılarını belirleyen iş parçacığı sayısını da ayarlayabilirsiniz.

Tek yapmanız gereken, taramak istediğiniz hedef URL'yi, kullanmak istediğiniz kelime listesini, dosya uzantılarını ve konu sayısını (isteğe bağlı) girmek ve ardından Başlangıç.

Tarama ilerledikçe DirBuster, keşfedilen dizinleri ve dosyaları arabirimde görüntüler. Her isteğin durumunu (ör. 200 Tamam, 404 Bulunamadı) ve keşfedilen öğelerin yolunu görebilirsiniz. Ayrıca, daha fazla analiz için tarama sonuçlarını bir dosyaya kaydedebilirsiniz. Bu, bulgularınızı belgelemenize yardımcı olacaktır.

DirBuster, Kali Linux'ta yüklü olarak gelir, ancak kolayca yapabilirsiniz DirBuster'ı Ubuntu'ya kurun.

3. Gobuster

Gobuster, web siteleri, Open Amazon S3 klasörleri, DNS alt etki alanları, hedef web sunucularındaki Sanal Ana Bilgisayar adları, TFTP sunucuları vb.

Gobuster'ı Kali gibi Linux'un Debian dağıtımlarına yüklemek için şunu çalıştırın:

sudo apt install gobuster

RHEL Linux dağıtım ailesi için şunu çalıştırın;

sudo dnf install gobuster

Arch Linux'ta şunu çalıştırın:

yay -S gobuster

Alternatif olarak, Go yüklüyse şunu çalıştırın:

go install github.com/OJ/gobuster/v3@latest

Gobuster Nasıl Kullanılır?

Web uygulamalarında dizinlere kaba kuvvet uygulamak için Gobuster kullanma sözdizimi şöyledir:

gobuster dir -u [url] -w [path to wordlist]

Örneğin, dizinlere kaba kuvvet uygulamak istiyorsanız https://example.com, komut şöyle görünür:

gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. üfff

ffuf, Go ile yazılmış çok hızlı bir web fuzzer ve dizin kaba zorlama aracıdır. Çok yönlüdür ve özellikle hızı ve kullanım kolaylığı ile bilinir.

ffuf Go'da yazıldığından, Linux PC'nizde Go 1.16 veya daha üstünün kurulu olması gerekir. Go sürümünüzü şu komutla kontrol edin:

go version

ffuf'u yüklemek için şu komutu çalıştırın:

go install github.com/ffuf/ffuf/v2@latest

Veya github deposunu klonlayabilir ve bu komutu kullanarak derleyebilirsiniz:

git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build

Bruteforce Dizinlerinde ffuf Nasıl Kullanılır

ffuf ile dizin kaba zorlama için temel sözdizimi şöyledir:

ffuf -u [URL/FUZZ] -w [path to wordlist]

Örneğin, taramak için https://example.com, komut şöyle olurdu:

ffuf -u https://example.com/FUZZ -w wordlist.txt

5. dizin arama

dirsearch, bir web uygulamasındaki dizinleri numaralandırmak için kullanılan başka bir kaba kuvvet komut satırı aracıdır. Terminal tabanlı bir uygulama olmasına rağmen renkli çıktısı ile özellikle beğenilmektedir.

Dirsearch'ü çalıştırarak pip aracılığıyla yükleyebilirsiniz:

pip install dirsearch

Veya aşağıdakileri çalıştırarak GitHub deposunu kopyalayabilirsiniz:

git clone https://github.com/maurosoria/dirsearch.git --depth 1

Bruteforce Dizinlerinde dirsearch Nasıl Kullanılır?

Bruteforce dizinlerine dirsearch kullanmanın temel sözdizimi şöyledir:

dirsearch -u [URL]

Dizinleri zorlamak için https://example.com, tek yapmanız gereken:

dirsearch -u https://example.com

Hiç şüphe yok ki bu araçlar, bu dizinleri manuel olarak tahmin etmeye çalışırken harcayacağınız zamandan çok fazla zaman kazandıracak. Siber güvenlikte zaman büyük bir varlıktır, bu nedenle her profesyonel günlük süreçlerini optimize etmek için açık kaynaklı araçlardan yararlanır.

İşinizi daha verimli hale getirmek için özellikle Linux'ta binlerce ücretsiz araç var, tek yapmanız gereken sizin için neyin işe yaradığını keşfetmek ve seçmek!