DirBuster工具扫描敏感文件

DirBuster是一个多线程Java应用程序，旨在强制Web/应用程序服务器上的目录和文件名。它可以选择执行纯暴力，在查询隐藏文件和目录方面非常好用。

1）安装DirBuster

前提：电脑中必须安装过java

下载地址：https://sourceforge.net/projects/dirbuster/

2）使用DirBuster

说明： 
①：Target URL：输入要探测网站的地址；需要注意的是这个地址要加上协议，看网站是http还是https。 
②：Work Method：选择工作方式；一个是get请求，一个是自动选择。一般选auto switch的自动选择，它会自行判断是使用head方式或get方式。 
③：Number of Thread：是选择扫描线程数，一般为30。电脑配置好的可根据情况选择。 
④：select scanning type：是选择扫描类型。list based brute force是使用字典扫描的意思，勾选上。随后browse选择字典文件，可用自己的，也可用dirbuster自己的。pure brute force是纯暴力破解的意思。 
⑤：select starting options：选项一个是standard start point（固定标准的名字去搜），一个是urlfuzz（相当于按关键字模糊搜索），选择url fuzz，随后在url tofuzz框中输入{dir}即可。

注意：打开后，如果没有看到 start 按钮，请把窗口拉大，就可以看到了。

在第4步中也可以选择纯暴力破解模式，命中率不高，相比之下还是模糊测试好用些

　　　　（坏笑~）上面有一个小错误，在第7步的时候，扫目标站下的目录应该填写/DedeCms5.7/{dir} 不知道细心的小伙伴发现了没~

　　　　否则的话扫的就是127.0.0.1：8080下的目录了

 3）扫描结果

最常见的响应在下面列出：

200 OK ：文件存在并能够读取。

404 File not found ：文件不存在。

301 Moved permanently ：这是到给定 URL 的重定向。

401 Unauthorized ：需要权限来访问这个文件。

403 Forbidden ：请求有效但是服务器拒绝响应。