1-11 Burpsuite 目录扫描探测
作者:互联网
目录扫描原理
利用Burpsuite Intruder模块进行不断枚举,然后对响应状态码筛选。从而得出站点目录下那些文件存在,那些文件不存在
对GET提交的目录或者是对应的网页进行测试,设置Sniper
实战演示
打开Burpsuite,启动
打开测试的网站
在这个过程中,我们要准备网页对应的字典文件
开启截断,拦截数据包
发送到Intruder模块
Intruder>Positions,选Sniper
Clear §
在域名处输入字符,选中输入的字符,Add §
Payload选择Runtime file,打开字典文件
选择Simple list也可以,但是加载数据需要花时间,选择Runtime file就不用,直接打开就可以用,如果是一个比较大的文件情况下,建议大家使用Runtime file
点击Start attack,开始探测
这个时候会返回不同的状态码,有500,302以及一些其它的,我们只要找到200,即可证明这些文件存在
302跳转、404不存在,这样的方式筛选出那些文件存在,那些文件不存在
以上就完成了目录扫描的探测
总结
1、掌握Burpsuite扫描目录原理。
2、掌握Burpsuite目录扫描操作步骤。
标签:11,文件,扫描,Burpsuite,Intruder,file,目录 来源: https://blog.csdn.net/m0_53008479/article/details/121661001