目录与接口收集及利用方式

0x01简介

扫目录：使用字典对网站目录进行爆破，探测可能存在的文件夹或文件。

接口：JS代码/网页注释中含有很多链接，其中一些链接很难通过扫目录发现。

0x02收集方式

1. 御剑目录扫描

1.jpg

2. dirbuster

dirbuster是kali中目录扫描工具DirBuster支持全部的Web目录扫描方式。它既支持网页爬虫方式扫描，也支持基于字典暴力扫描，还支持纯暴力扫描。

2.jpg 3.jpg

3. Webdirscan

https://github.com/TuuuNya/webdirscan

4.jpg 5.jpg

4. Dirmap

<u>https://github.com/H4ckForJob/dirmap</u>

6.jpg 7.jpg

5.gobuster

<u>https://github.com/OJ/gobuster</u>

8.jpg 9.jpg 10.jpg tb.jpg

0x03利用方式

1. 通过目录扫描可能找到后台登陆地址、敏感页面/文件等，工具差异性并不大，能否扫出重要的目录信息主要看字典。

2. 通过接口收集可能找到一些敏感的页面或数据，从而直接发现漏洞或进一步利用。