מחפש כלים חינמיים לשימוש כדי למנות ספריות וקבצים נסתרים בשרת אינטרנט? להלן כלי הלינוקס הטובים ביותר לפריצת ספריות.

טייק אווי מפתח

  • פריצת ספריות היא טכניקה חיונית בפריצה אתית לגילוי ספריות וקבצים נסתרים בשרת אינטרנט או באפליקציה.
  • לינוקס מציעה מספר כלים לפריצת ספריות, כגון DIRB, DirBuster, Gobuster, ffuf ו-dirsearch.
  • כלים אלה הופכים לאוטומטיים את תהליך שליחת בקשות HTTP לשרת אינטרנט וניחוש שמות ספריות כדי למצוא משאבים שאינם מפורסמים בניווט או במפת האתר של האתר.

בשלב הסיור של כל בדיקת יישום אינטרנט, חיוני למצוא ספריות אפשריות באפליקציה. ספריות אלו עשויות להכיל מידע וממצאים משמעותיים שיעזרו לך מאוד למצוא נקודות תורפה באפליקציה ולשפר את האבטחה שלה.

למרבה המזל, ישנם כלים באינטרנט שהופכים את הפעלת קבצי הספריות לקלה יותר, אוטומטית ומהירה יותר. להלן חמישה כלים לפריצת ספריות ב-Linux כדי למנות ספריות נסתרות ביישום אינטרנט.

מה זה פריצת ספריות?

ספרייה מתפוצצת, הידוע גם בשם "אילץ קבצים של ספרייה", היא טכניקה המשמשת בפריצה אתית כדי לגלות ספריות וקבצים נסתרים בשרת אינטרנט או ביישום. זה כרוך בניסיון שיטתי לגשת לספריות שונות על ידי ניחוש שמותיהם או ספירה באמצעות רשימה של ספריות ושמות קבצים נפוצים.

instagram viewer

תהליך התפוצצות הספריות כולל בדרך כלל שימוש בכלים או סקריפטים אוטומטיים ששולחים בקשות HTTP לשרת אינטרנט, תוך ניסיון ספריות ושמות קבצים שונים כדי למצוא משאבים שאינם מקושרים או מפורסמים במפורש בניווט של האתר או מפת אתר.

ישנם מאות כלים חינמיים הזמינים באינטרנט לביצוע התפוצצות ספריות. הנה כמה כלים חינמיים שבהם תוכל להשתמש במבחן החדירה הבא שלך:

1. DIRB

DIRB הוא כלי שורת פקודה פופולרי של לינוקס המשמש לסריקה ו-bruteforce ספריות ביישומי אינטרנט. הוא מונה ספריות אפשריות מרשימת מילים מול כתובת אתר.

DIRB מגיע מותקן כבר על Kali Linux. עם זאת, אם אין לך את זה מותקן, אין מה לדאוג. אתה רק צריך פקודה פשוטה כדי להתקין אותו.

עבור הפצות מבוססות דביאן, הפעל:

sudo apt install dirb

עבור הפצות לינוקס שאינן דביאן כמו פדורה ו-CentOS, בצע:

sudo dnf install dirb

ב-Arch Linux, הפעל:

yay -S dirb

כיצד להשתמש ב-DIRB למדריכות Bruteforce

התחביר לביצוע directory brute force על יישום אינטרנט הוא:

dirb [url] [path to wordlist]

למשל, אם היית עושה כוח גס https://example.com, זו תהיה הפקודה:

dirb https://example.com wordlist.txt

אתה יכול גם להפעיל את הפקודה מבלי לציין רשימת מילים. DIRB ישתמש בקובץ ברירת המחדל של רשימת המילים שלו, common.txt, כדי לסרוק את האתר.

dirb https://example.com

2. DirBuster

DirBuster דומה מאוד ל-DIRB. ההבדל העיקרי הוא של-DirBuster יש ממשק משתמש גרפי (GUI) בניגוד ל-DIRB שהוא כלי שורת פקודה. DIRB מאפשר לך להגדיר את ספריית bruteforce סריקות לפי הטעם שלך ולסנן את התוצאות לפי קוד סטטוס ופרמטרים מעניינים אחרים.

אתה יכול גם להגדיר את מספר השרשורים הקובעים את המהירות שבה ברצונך שהסריקות יפעלו, ואת סיומות הקבצים הספציפיות שאתה רוצה שהאפליקציה תחפש עבורך.

כל שעליך לעשות הוא להזין את כתובת אתר היעד שברצונך לסרוק, את רשימת המילים שבה ברצונך להשתמש, את סיומות הקבצים ומספר השרשורים (אופציונלי), ולאחר מכן לחץ על הַתחָלָה.

ככל שהסריקה מתקדמת, DirBuster יציג את הספריות והקבצים שהתגלו בממשק. אתה יכול לראות את הסטטוס של כל בקשה (למשל, 200 בסדר, 404 לא נמצא) ואת הנתיב של הפריטים שהתגלו. אתה יכול גם לשמור את תוצאות הסריקה בקובץ לניתוח נוסף. זה יעזור לתעד את הממצאים שלך.

DirBuster מגיע מותקן על Kali Linux, אבל אתה יכול בקלות התקן את DirBuster על אובונטו.

3. גובאסטר

Gobuster הוא כלי שורת פקודה שנכתב ב-Go המשמש ל-bruteforce ספריות וקבצים באתרי אינטרנט, פתיחת דליים של Amazon S3, תת-דומיינים של DNS, שמות מארח וירטואלי בשרתי אינטרנט יעד, שרתי TFTP וכו'.

כדי להתקין את Gobuster על הפצות Debian של Linux כמו Kali, הפעל:

sudo apt install gobuster

עבור משפחת RHEL של הפצות לינוקס, הפעל;

sudo dnf install gobuster

ב-Arch Linux, הפעל:

yay -S gobuster

לחלופין, אם התקנת את Go, הפעל:

go install github.com/OJ/gobuster/v3@latest

כיצד להשתמש ב-Gobuster

התחביר לשימוש ב-Gobuster ל-bruteforce ספריות ביישומי אינטרנט הוא:

gobuster dir -u [url] -w [path to wordlist]

לדוגמה, אם אתה רוצה להפעיל את המדריכים של bruteforce https://example.com, הפקודה תיראה כך:

gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. פוף

ffuf הוא כלי מהיר מאוד ל-fuzzer ו-directory brute force שנכתב ב-Go. הוא רב תכליתי וידוע במיוחד בזכות מהירותו וקלות השימוש שלו.

מכיוון ש-ffuf כתוב ב-Go, עליך להתקין את Go 1.16 ומעלה במחשב ה-Linux שלך. בדוק את גרסת ה-Go שלך עם הפקודה הזו:

go version

כדי להתקין ffuf, הפעל את הפקודה הזו:

go install github.com/ffuf/ffuf/v2@latest

או שאתה יכול לשכפל את מאגר github ולהרכיב אותו באמצעות הפקודה הזו:

git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build

כיצד להשתמש ב-ffuf למדריכים של Bruteforce

התחביר הבסיסי לאלץ directory brute עם ffuf הוא:

ffuf -u [URL/FUZZ] -w [path to wordlist]

למשל, לסרוק https://example.com, הפקודה תהיה:

ffuf -u https://example.com/FUZZ -w wordlist.txt

5. חיפוש אחר

dirsearch הוא כלי נוסף של שורת פקודה בעל כפייה אכזרית המשמש לספירת ספריות ביישום אינטרנט. זה אהוב במיוחד בגלל הפלט הצבעוני שלו למרות היותו יישום מבוסס מסוף.

אתה יכול להתקין dirsearch דרך pip על ידי הפעלת:

pip install dirsearch

לחלופין, אתה יכול לשכפל את מאגר GitHub על ידי הפעלת:

git clone https://github.com/maurosoria/dirsearch.git --depth 1

כיצד להשתמש ב-dirsearch למדריכות Bruteforce

התחביר הבסיסי לשימוש ב-dirsearch ל-bruteforce ספריות הוא:

dirsearch -u [URL]

כדי להשתמש במדריכים של bruteforce https://example.com, כל מה שאתה צריך לעשות הוא:

dirsearch -u https://example.com

אין ספק שהכלים הללו יחסכו לכם זמן רב שהייתם מבלים בניסיון ידני לנחש את המדריכים הללו. באבטחת סייבר, זמן הוא נכס גדול, זו הסיבה שכל איש מקצוע מנצל את הכלים בקוד פתוח כדי לייעל את התהליכים היומיומיים שלו.

ישנם אלפי כלים חינמיים במיוחד בלינוקס כדי להפוך את העבודה שלך ליעילה יותר, כל מה שאתה צריך לעשות הוא לחקור ולבחור מה מתאים לך!