هل تبحث عن أدوات مجانية الاستخدام لتعداد الأدلة والملفات المخفية على خادم الويب؟ فيما يلي أفضل أدوات Linux لتنشيط الدليل.

الماخذ الرئيسية

  • يعد انفجار الدليل تقنية أساسية في القرصنة الأخلاقية لاكتشاف الأدلة والملفات المخفية على خادم أو تطبيق ويب.
  • يقدم Linux العديد من الأدوات لتنشيط الدليل ، مثل DIRB و DirBuster و Gobuster و ffuf و dirsearch.
  • تعمل هذه الأدوات على أتمتة عملية إرسال طلبات HTTP إلى خادم الويب وتخمين أسماء الدلائل للعثور على الموارد التي لم يتم الإعلان عنها في التنقل في موقع الويب أو خريطة الموقع.

في مرحلة الاستطلاع لكل تطبيق ويب pentest ، من الضروري العثور على أدلة محتملة في التطبيق. قد تحتوي هذه الأدلة على معلومات ونتائج مهمة من شأنها أن تساعدك بشكل كبير في العثور على الثغرات الأمنية في التطبيق وتحسين أمانه.

لحسن الحظ ، هناك أدوات على الإنترنت تجعل التأثير الغاشم للدليل أسهل وأتمتة وأسرع. فيما يلي خمس أدوات لتفجير الدليل على نظام Linux لتعداد الأدلة المخفية في تطبيق ويب.

ما هو انفجار الدليل؟

انفجار الدليل، المعروف أيضًا باسم "الدليل الغاشم" ، هو تقنية تستخدم في القرصنة الأخلاقية لاكتشاف الدلائل والملفات المخفية على خادم أو تطبيق ويب. إنه ينطوي على محاولة منهجية للوصول إلى أدلة مختلفة عن طريق تخمين أسمائها أو التعداد من خلال قائمة من الدلائل الشائعة وأسماء الملفات.

instagram viewer

تتضمن عملية انفجار الدليل عادةً استخدام أدوات آلية أو نصوص برمجية ترسل طلبات HTTP إلى خادم ويب ، في محاولة الدلائل المختلفة وأسماء الملفات للعثور على الموارد التي لم يتم ربطها أو الإعلان عنها بشكل صريح على التنقل في موقع الويب أو خريطة الموقع.

هناك المئات من الأدوات المجانية المتاحة على الإنترنت لتنفيذ عملية تفجير الدليل. إليك بعض الأدوات المجانية التي يمكنك استخدامها في اختبار الاختراق التالي:

1. ديرب

DIRB هي أداة سطر أوامر شائعة في نظام Linux تُستخدم لفحص الدلائل وإزالتها على تطبيقات الويب. يعدد الدلائل المحتملة من قائمة الكلمات مقابل عنوان URL لموقع الويب.

يأتي DIRB مثبتًا بالفعل على Kali Linux. ومع ذلك ، إذا لم يكن مثبتًا لديك ، فلا داعي للقلق. أنت فقط بحاجة إلى أمر بسيط لتثبيته.

للتوزيعات القائمة على دبيان ، قم بتشغيل:

sudo apt install dirb

بالنسبة إلى توزيعات Linux التي ليست ديبيان مثل Fedora و CentOS ، نفّذ:

sudo dnf install dirb

على Arch Linux ، قم بتشغيل:

yay -S dirb

كيفية استخدام DIRB إلى أدلة Bruteforce

صيغة تنفيذ الدليل الغاشم على تطبيق ويب هي:

dirb [url] [path to wordlist]

على سبيل المثال ، إذا كنت تريد القوة الوحشية https://example.com, سيكون هذا هو الأمر:

dirb https://example.com wordlist.txt

يمكنك أيضًا تشغيل الأمر بدون تحديد قائمة كلمات. قد يستخدم DIRB ملف قائمة الكلمات الافتراضي الخاص به ، Common.txt، لفحص الموقع.

dirb https://example.com

2. ديربستر

DirBuster مشابه جدًا لـ DIRB. الاختلاف الرئيسي هو أن DirBuster لديه واجهة مستخدم رسومية (GUI) على عكس DIRB وهو أداة سطر أوامر. يتيح لك DIRB تكوين عمليات مسح الدليل bruteforce حسب ذوقك وتصفية النتائج حسب رمز الحالة والمعلمات الأخرى المثيرة للاهتمام.

يمكنك أيضًا تعيين عدد سلاسل الرسائل التي تحدد السرعة التي تريد تشغيل عمليات الفحص بها ، وامتدادات الملفات المحددة التي تريد أن يبحث عنها التطبيق عنك.

كل ما عليك فعله هو إدخال عنوان URL الهدف الذي تريد مسحه ، وقائمة الكلمات التي تريد استخدامها ، وامتدادات الملفات ، وعدد سلاسل الرسائل (اختياري) ، ثم انقر فوق يبدأ.

مع تقدم الفحص ، سيعرض DirBuster الأدلة والملفات المكتشفة في الواجهة. يمكنك رؤية حالة كل طلب (على سبيل المثال ، 200 موافق ، 404 غير موجود) ومسار العناصر المكتشفة. يمكنك أيضًا حفظ نتائج الفحص في ملف لمزيد من التحليل. هذا من شأنه أن يساعد في توثيق النتائج الخاصة بك.

يأتي DirBuster مثبتًا على Kali Linux ، ولكن يمكنك ذلك بسهولة قم بتثبيت DirBuster على Ubuntu.

3. غوبستر

Gobuster هي أداة سطر أوامر مكتوبة بلغة Go تُستخدم لتقوية الدلائل والملفات في مواقع الويب ، وحاويات Open Amazon S3 ، ونطاقات DNS الفرعية ، وأسماء المضيف الظاهري على خوادم الويب المستهدفة ، وخوادم TFTP ، وما إلى ذلك.

لتثبيت Gobuster على توزيعات دبيان لنظام Linux مثل Kali ، قم بتشغيل:

sudo apt install gobuster

بالنسبة لعائلة RHEL لتوزيعات Linux ، قم بتشغيل ؛

sudo dnf install gobuster

على Arch Linux ، قم بتشغيل:

yay -S gobuster

بدلاً من ذلك ، إذا كان لديك Go مثبتًا ، فقم بتشغيل:

go install github.com/OJ/gobuster/v3@latest

كيفية استخدام Gobuster

بناء جملة استخدام Gobuster لقوة الدلائل في تطبيقات الويب هو:

gobuster dir -u [url] -w [path to wordlist]

على سبيل المثال ، إذا كنت ترغب في تشغيل الدلائل بوحشية https://example.com, سيبدو الأمر كما يلي:

gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. صص

ffuf هو فزر ويب سريع جدًا وأداة للتأثير الغاشم للدليل مكتوبة بلغة Go. إنه متعدد الاستخدامات ومعروف بشكل خاص بسرعته وسهولة استخدامه.

نظرًا لأن ffuf مكتوب بلغة Go ، فأنت بحاجة إلى تثبيت Go 1.16 أو إصدار أحدث على كمبيوتر Linux الخاص بك. تحقق من إصدار Go لديك باستخدام هذا الأمر:

go version

لتثبيت ffuf ، قم بتشغيل هذا الأمر:

go install github.com/ffuf/ffuf/v2@latest

أو يمكنك استنساخ مستودع جيثب وتجميعه باستخدام هذا الأمر:

git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build

كيفية استخدام ffuf إلى أدلة Bruteforce

الصيغة الأساسية للتأثير الغاشم للدليل باستخدام ffuf هي:

ffuf -u [URL/FUZZ] -w [path to wordlist]

على سبيل المثال ، للمسح https://example.com, سيكون الأمر:

ffuf -u https://example.com/FUZZ -w wordlist.txt

5. dirsearch

dirsearch هي أداة سطر أوامر أخرى للتأثير الغاشم تُستخدم لتعداد الأدلة على تطبيق ويب. إنه محبوب بشكل خاص بسبب إنتاجه الملون على الرغم من كونه تطبيقًا قائمًا على المحطة.

يمكنك تثبيت dirsearch عبر النقطة عن طريق تشغيل:

pip install dirsearch

أو يمكنك استنساخ مستودع GitHub عن طريق تشغيل:

git clone https://github.com/maurosoria/dirsearch.git --depth 1

كيفية استخدام dirsearch إلى أدلة Bruteforce

الصيغة الأساسية لاستخدام dirsearch لأدلة القوة العنيفة هي:

dirsearch -u [URL]

إلى bruteforce الدلائل على https://example.com, كل ما عليك فعله هو:

dirsearch -u https://example.com

ليس هناك شك في أن هذه الأدوات ستوفر لك الكثير من الوقت الذي كنت ستقضيه يدويًا في محاولة تخمين هذه الأدلة. في الأمن السيبراني ، يعد الوقت رصيدًا كبيرًا ، ولهذا السبب يستفيد كل محترف من الأدوات مفتوحة المصدر التي تعمل على تحسين عملياتهم اليومية.

هناك الآلاف من الأدوات المجانية خاصة على Linux لجعل عملك أكثر كفاءة ، كل ما عليك فعله هو استكشاف واختيار ما يناسبك!