铁子们,今日学习份额已更新~一起来头秃吧!
本章节主要讲解“软件测试的文件和目录测试”的内容,文件和目录测试主要是从服务器中的文件内容和目录方面测试服务器是否存在漏洞。
主要需要测试以下几方面的信息:
目录列表测试。
文件归档测试。
Web 服务器控制台测试。
Robots 文件接口查找。
使用工具对敏感接口进行遍历查找。
(1)目录列表测试。
目录列表可能造成信息泄漏,并且很容易被攻击,所以在测试过程中应该注意查找所有目录列表可能存在的漏洞。
在测试过程中可以使用一些工具对Web 服务器的目录列表进行测试。下面以DirBuster 工具为例,对目录进行测试。
DirBuster 是一个多线程Java 应用程序,用于暴力破解Web 服务器上的目录和文件。根据一个用户提供的字典文件,DirBuster 会试图在应用中爬行,并且猜测非链接的目录和有特定扩展名的文件。例如,如果应用使用PHP,用户可以指定“php”为特定文件扩展名,DirBuster 将在每个爬虫程序遇到的目录中猜测名为“字典中的词.php”的文件。DirBuster 能够递归扫描查找的新目录,包括隐藏的文件和目录。
测试的条件是需要先在测试机上安装JRE 和DirBuster 软件,测试步骤如下:
第一步:运行DirBuster.jar 程序。<
