Mencari alat gratis untuk menghitung direktori dan file tersembunyi di server web? Berikut adalah alat Linux terbaik untuk meledakkan direktori.
Takeaway kunci
- Peledak direktori adalah teknik penting dalam peretasan etis untuk menemukan direktori dan file tersembunyi di server web atau aplikasi.
- Linux menawarkan beberapa alat untuk meledakkan direktori, seperti DIRB, DirBuster, Gobuster, ffuf, dan dirsearch.
- Alat ini mengotomatiskan proses pengiriman permintaan HTTP ke server web dan menebak nama direktori untuk menemukan sumber daya yang tidak diiklankan di navigasi situs web atau peta situs.
Pada tahap pengintaian setiap pentest aplikasi web, penting untuk menemukan kemungkinan direktori pada aplikasi tersebut. Direktori ini mungkin menyimpan informasi dan temuan penting yang akan sangat membantu Anda menemukan kerentanan dalam aplikasi dan meningkatkan keamanannya.
Untungnya, ada alat di internet yang membuat pemaksaan direktori menjadi lebih mudah, otomatis, dan lebih cepat. Berikut adalah lima alat pembobol direktori di Linux untuk menghitung direktori tersembunyi di aplikasi web.
Apa itu Direktori Meledak?
Direktori meledak, juga dikenal sebagai "directory brute forcing", adalah teknik yang digunakan dalam peretasan etis untuk menemukan direktori dan file tersembunyi di server web atau aplikasi. Ini melibatkan upaya sistematis untuk mengakses direktori yang berbeda dengan menebak nama mereka atau menghitung melalui daftar direktori umum dan nama file.
Proses pembobolan direktori biasanya melibatkan penggunaan alat atau skrip otomatis yang mengirimkan permintaan HTTP ke server web, mencoba direktori dan nama file yang berbeda untuk menemukan sumber daya yang tidak ditautkan atau diiklankan secara eksplisit di navigasi situs web atau peta situs.
Ada ratusan alat gratis yang tersedia di internet untuk melakukan directory bursting. Berikut adalah beberapa alat gratis yang dapat Anda gunakan dalam uji penetrasi berikutnya:
1. DIRB
DIRB adalah alat baris perintah Linux populer yang digunakan untuk memindai dan memaksa direktori pada aplikasi web. Itu menyebutkan kemungkinan direktori dari daftar kata terhadap URL situs web.
DIRB sudah terpasang di Kali Linux. Namun, jika Anda belum menginstalnya, tidak ada yang perlu dikhawatirkan. Anda hanya perlu perintah sederhana untuk menginstalnya.
Untuk distribusi berbasis Debian, jalankan:
sudo apt install dirb
Untuk distribusi Linux non-Debian seperti Fedora dan CentOS, jalankan:
sudo dnf install dirb
Di Arch Linux, jalankan:
yay -S dirb
Cara Menggunakan DIRB ke Direktori Bruteforce
Sintaks untuk melakukan pemaksaan kasar direktori pada aplikasi web adalah:
dirb [url] [path to wordlist]
Misalnya, jika Anda melakukan bruteforce https://example.com, ini akan menjadi perintah:
dirb https://example.com wordlist.txt
Anda juga dapat menjalankan perintah tanpa menentukan daftar kata. DIRB akan menggunakan file daftar kata defaultnya, common.txt, untuk memindai situs web.
dirb https://example.com
2. DirBuster
DirBuster sangat mirip dengan DIRB. Perbedaan utamanya adalah DirBuster memiliki antarmuka pengguna grafis (GUI) tidak seperti DIRB yang merupakan alat baris perintah. DIRB memungkinkan Anda untuk mengonfigurasi pemindaian bruteforce direktori sesuai selera Anda dan memfilter hasilnya berdasarkan kode status dan parameter menarik lainnya.
Anda juga dapat mengatur jumlah utas yang menentukan kecepatan pemindaian yang Anda inginkan, dan ekstensi file tertentu yang Anda inginkan agar aplikasi mencari Anda.
Yang perlu Anda lakukan hanyalah memasukkan URL target yang ingin Anda pindai, daftar kata yang ingin Anda gunakan, ekstensi file, dan jumlah utas (opsional), lalu klik Awal.
Saat pemindaian berlangsung, DirBuster akan menampilkan direktori dan file yang ditemukan di antarmuka. Anda dapat melihat status setiap permintaan (misalnya, 200 OK, 404 Tidak Ditemukan) dan jalur item yang ditemukan. Anda juga dapat menyimpan hasil pemindaian ke file untuk analisis lebih lanjut. Ini akan membantu mendokumentasikan temuan Anda.
DirBuster terinstal di Kali Linux, tetapi Anda dapat melakukannya dengan mudah instal DirBuster di Ubuntu.
3. Gobuster
Gobuster adalah alat baris perintah yang ditulis dalam Go yang digunakan untuk memaksa direktori dan file di situs web, membuka bucket Amazon S3, subdomain DNS, nama Host Virtual di server web target, server TFTP, dll.
Untuk menginstal Gobuster di distribusi Debian Linux seperti Kali, jalankan:
sudo apt install gobuster
Untuk keluarga distribusi Linux RHEL, jalankan;
sudo dnf install gobuster
Di Arch Linux, jalankan:
yay -S gobuster
Atau, jika Anda telah menginstal Go, jalankan:
go install github.com/OJ/gobuster/v3@latest
Cara Menggunakan Gobuster
Sintaks untuk menggunakan Gobuster untuk bruteforce direktori di aplikasi web adalah:
gobuster dir -u [url] -w [path to wordlist]
Misalnya, jika Anda ingin mengaktifkan direktori bruteforce https://example.com, perintah akan terlihat seperti ini:
gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt
4. ffuf
ffuf adalah web fuzzer dan direktori brute-forcing tool yang sangat cepat yang ditulis dalam Go. Ini sangat serbaguna dan terutama dikenal karena kecepatan dan kemudahan penggunaannya.
Karena ffuf ditulis dalam Go, Anda harus menginstal Go 1.16 atau lebih tinggi di PC Linux Anda. Periksa versi Go Anda dengan perintah ini:
go version
Untuk menginstal ffuf, jalankan perintah ini:
go install github.com/ffuf/ffuf/v2@latest
Atau Anda dapat mengkloning repositori github dan mengompilasinya menggunakan perintah ini:
git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build
Cara Menggunakan ffuf ke Direktori Bruteforce
Sintaks dasar untuk direktori brute force dengan ffuf adalah:
ffuf -u [URL/FUZZ] -w [path to wordlist]
Misalnya, untuk memindai https://example.com, perintahnya adalah:
ffuf -u https://example.com/FUZZ -w wordlist.txt
5. dirsearch
dirsearch adalah alat baris perintah brute-forcing lain yang digunakan untuk menghitung direktori pada aplikasi web. Ini sangat disukai karena keluarannya yang berwarna-warni meskipun merupakan aplikasi berbasis terminal.
Anda dapat menginstal dirsearch melalui pip dengan menjalankan:
pip install dirsearch
Atau, Anda dapat mengkloning repositori GitHub dengan menjalankan:
git clone https://github.com/maurosoria/dirsearch.git --depth 1
Cara Menggunakan dirsearch ke Direktori Bruteforce
Sintaks dasar untuk menggunakan dirsearch ke direktori bruteforce adalah:
dirsearch -u [URL]
Untuk mengaktifkan direktori bruteforce https://example.com, yang perlu Anda lakukan hanyalah:
dirsearch -u https://example.com
Tidak ada keraguan bahwa alat ini akan menghemat banyak waktu yang Anda habiskan secara manual untuk mencoba menebak direktori ini. Dalam keamanan siber, waktu adalah aset yang besar, inilah mengapa setiap profesional memanfaatkan alat sumber terbuka untuk mengoptimalkan proses harian mereka.
Ada ribuan alat gratis terutama di Linux untuk membuat pekerjaan Anda lebih efisien, yang perlu Anda lakukan hanyalah menjelajahi dan memilih yang cocok untuk Anda!