概述
目录扫描原理
利用Burpsuite Intruder模块进行不断枚举,然后对响应状态码筛选。从而得出站点目录下那些文件存在,那些文件不存在
对GET提交的目录或者是对应的网页进行测试,设置Sniper
实战演示
打开Burpsuite,启动
打开测试的网站
在这个过程中,我们要准备网页对应的字典文件
开启截断,拦截数据包
发送到Intruder模块
Intruder>Positions,选Sniper
Clear §
在域名处输入字符,选中输入的字符,Add §
Payload选择Runtime file,打开字典文件
选择Simple list也可以,但是加载数据需要花时间,选择Runtime file就不用,直接打开就可以用,如果是一个比较大的文件情况下,建议大家使用Runtime file
点击Start attack,开始探测
这个时候会返回不同的状态码,有500,302以及一些其它的,我们只要找到200,即可证明这些文件存在
302跳转、404不存在,这样的方式筛选出那些文件存在,那些文件不存在
以上就完成了目录扫描的探测
总结
1、掌握Burpsuite扫描目录原理。
2、掌握Burpsuite目录扫描操作步骤。
最后
以上就是阳光星月为你收集整理的1-11 Burpsuite 目录扫描探测的全部内容,希望文章能够帮你解决1-11 Burpsuite 目录扫描探测所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复