安全测试工具（连载8）

3.2 DirBuster

DirBuster是OWASP（开放WEB软体安全项目- OpenWeb Application Security Project)开发的一款专门用于探测WEB服务器的目录和隐藏文件。由于使用JAVA编写，电脑中要装有JDK才能运行。本书介绍的DirBuster版本为V0.12。

打开DirBuster，如43所示。

43 DirBuster

lTargetURL：目标URL地址，记住前面一定要有http或https。

lWorkMet…：工作方式，包括 “仅使用GET请求” 和 “在HEAD和GET之间自动选择” 两种方式，建议使用“在HEAD和GET之间自动选择” 。

l线程数：建议选择30。

l选择扫描类型：一般选择“List based foreced”；如果使用个人字典，请选择“Pure Brute Force”。

lFileWith list of dir/files：选择字典文件，高级用户可以自己书写字典文件

lSelectStarting Option：选择开始选项，包括“标准开始点”和“URL模糊测试”两种方式。建议选择“URL模糊测试”。

lURLto Fuzz—/test.html?url={dir}.asp：如果选择了 “URL模糊测试”, 这里输入/{dir}, 运行时被字典变量替换。

扫描完毕即可显示扫描结果，如44所示。

44 DirBuster扫描结果

星云测试

http://www.teststars.cc

奇林软件

http://www.kylinpet.com

联合通测

http://www.quicktesting.net