信息收集 | 目录与接口收集及利用方式

• 2020 年 2 月 16 日
• 筆記

声明：文章仅供学习参考，请勿用作非法途径，否则后果自负。

02

简单介绍

扫目录：使用字典对目录进行爆破，探测可能存在的文件夹或文件。

接口：JS代码/网页注释中含有很多链接，其中一些链接很难通过扫目录发现。

02

收集方式

1

Dirsearch

地址： https://github.com/maurosoria/dirsearch

2

Dirmap

地址： https://github.com/H4ckForJob/dirmap

3

7kbscan

地址： https://github.com/7kbstorm/7kbscan-WebPathBrute

4

御剑

暂不提供下载方式

5

JSFinder

地址： https://github.com/Threezh1/JSFinder

6

LinkFinder

地址： https://github.com/GerbenJavado/LinkFinder

02

利用方式

• 通过目录扫描可能找到后台登陆地址、敏感页面/文件等，工具差异性并不大，能否扫出重要的目录信息主要看字典。
• 通过接口收集可能找到一些敏感的页面或数据，从而直接发现漏洞或进一步利用。

1

字典推荐

地址： https://github.com/fuzzdb-project/fuzzdb https://github.com/TheKingOfDuck/fuzzDicts https://github.com/rootphantomer/Blasting_dictionary