前言
本人是一名立志安全开发的大学生,有一年安全测试经验,有时在刷src的时候,需要检查所有target的web业务系统是否泄露敏感目录、文件,工作量十分庞大,于是Dirmap诞生了~
知名的web目录文件扫描工具有很多,如:御剑1.5、DirBuster、Dirsearch、cansina。
其他开源的各种轮子,更是数不胜数。
这次我们不造轮子,我们需要造的是一辆车!opensource的那种XD
os.jpg需求分析
何为一个优秀的web目录扫描工具?
经过大量调研,总结一个优秀的web目录扫描工具至少具备以下功能:
并发引擎
能使用字典
能纯爆破
能爬取页面动态生成字典
能fuzz扫描
自定义请求
自定义响应结果处理…
功能特点
你爱的样子,我都有,小鸽鸽了解下我吧:
支持n个target*n个payload并发
支持递归扫描
支持自定义需要递归扫描的状态码
支持(单
多)字典扫描
支持自定义字符集爆破
支持爬虫动态字典扫描
支持自定义标签fuzz目标url
自定义请求User-Agent
自定义请求随机延时
自定义请求超时时间
自定义请求代理
自定义正则表达式匹配假性页面
自定义要处理的响应状态码
自定义跳过大小为x的页面
自定义显示content-type
自定义显示页面大小
按域名去重复保存结果
扫描效果递归扫描recursive_scan.png字典模式dict_mode.png爆破模式blast_mode.png爬虫模式crawl_mode.pngfuzz模式fuzz_mode.png
Q:这么棒棒呀!那Dirmap该怎么使用呢?
A:啊哈,你往下滑。
使用方法环境准备
gitclone
