关于工具:YYDS-如何拿下网站黑客最爱用的三个神器

46次阅读

共计 1161 个字符,预计需要花费 3 分钟才能阅读完成。

前言:

网络浸透中,网站始终是黑客们重点攻打的指标。面对网站,攻击者常常会想找到网站后盾,登录下来,从而进一步取得网站服务器控制权。

所以,如何取得网站后盾登录地址,就是十分重要的第一步。

爬虫剖析

爬虫剖析的原理,是通过剖析网站页面的 HTML 源代码,从外面一直爬取链接,剖析潜在的后盾登录地址。一般来说,后盾登录页面的地址中,通常会呈现 loginadminuser 等字样。

字典枚举

很多时候,通过爬虫难以获取到后盾登录地址,因为有可能存在没有任何一个页面外面蕴含登录页面的链接的状况。这个时候,咱们还能够借助字典的形式,进行枚举发动申请察看返回状况。当初很多网站都是用的一些公共的开源博客、BBS、CMS 等框架打进去的,比方 Discuz! 等,而这些开源的我的项目后盾登录页面名字都是固定的,如果网站搭建者没有本人更改,那就非常容易拿到这个地址。

一个弱小的字典蕴含了几万十几万的罕用后盾登录地址特色,通过枚举就可能找到后盾登录地址。

暴力枚举

最初这种顾名思义,暴力枚举!字典枚举的外围在于要有一个弱小的字典,但如果指标后盾登录地址不在字典中,那就无能为力了。爬虫和字典都无能为力的状况下,就只能靠暴力枚举了,就跟试明码一样,字符组合,没啥好说的。

说完了三种办法,那小伙伴们必定想问了,有没有什么工具呢?有,当然有,而且还不止一款。接下来就给大家介绍几款当下黑客们最罕用的网站扫描工具。

DirBuster

DirBuster 是 OWASP(凋谢 Web 平安我的项目 - Open Web Application Security Project)开发的一款专门用于探测 Web 服务器的目录和暗藏文件。

因为应用 Java 编写,电脑中要装有 JDK 能力运行。

输出网站地址,进行一些简略配置,就能开始扫描。同时反对基于字典的扫描和暴力枚举。

御剑

听名字,御剑就是咱们国人写的,出自大牛御剑孤单,同样反对字典枚举,比起 DirBuster,御剑更加得简洁轻便,操作起来十分得心应手。

wwwscan

wwwscan 算是一个老牌的后盾扫描工具了,界面更加简略,反对命令行和可视化界面两种模式:

在命令行模式下,反对参数:

-p:设置端口号

-m:设置最大线程数

-t:设置超时工夫

-r:设置扫描的起始目录

-ssl:是否应用 SSL

应用命令示例:

  • wwwscan.exe www.baidu.com -p 8080 -m 10 -t 16
  • wwwscan.exe www.baiadu.com -r “/test/” -p 80
  • wwwscan.exe www.baidu.com –ssl

除了用这些工具,Google Hacking也经常用来进行后盾扫描。比方应用 inurl 语法进行搜寻:

  • inurl:login.php
  • inurl:login.jsp
  • inurl:login.asp

通过这些工具,就能轻松找到网站后盾地址啦。

正文完
 0