توی این مطلب میخوایم در رابطه با یکی از ابزار های بسیار خوب و کاربردی در زمینه تست نفوذ و به ویژه باگ بانتی بنام Gobuster صحبت کنیم. اما قبل از اون اجازه بدید مفهوم اصلی باگ بانتی رو توضیح بدیم و بعدش با کاربرد این ابزار در این حوزه آشنا بشیم.
جالبه بدونید خود کلمه باگ (Bug) به معنی حشره است و برنامه bug bounty معامله ای هست که توسط بسیاری از وب سایت ها ، سازمان ها و توسعه دهندگان نرم افزار ارائه می شه و بر اساس اون افراد می تونن به ازای گزارش اشکالات و شناسایی اون ها به ویژه مواردی که مربوط به سوء استفاده های امنیتی و آسیب پذیری ها هست پاداش دریافت کنند.این برنامه ها به توسعه دهندگان اجازه می دهه تا اشکالات رو قبل از آگاهی عموم مردم از آنها کشف و برطرف کرده و از وقوع سوء استفاده گسترده جلوگیری کنند. برنامه های باگ بانتی توسط تعداد زیادی از سازمان ها از جمله :
شرکت های خارج از صنعت فناوری ، از جمله سازمان های سنتی محافظه کار مثل وزارت دفاع ایالات متحده ، شروع به استفاده از برنامه های باگ بانتی کرده اند.
خب تا به اینجا با مفهوم کلی باگ بانتی اشنا شدیم حالا بریم سراغ بحث اصلیمون یعنی ابزار gobuster و کاربرد اون در زمینه باگ بانتی:
باید بگیم محققین تست نفوذ با استفاده از ابزار های مختلف اقدام به اسکن سایت برای بیرون کشیدن اطلاعات مهم یا کشف آسیب پذیری در زیردامنه (Subdomain) یا دایرکتوری های مختلف میکنند که ممکنه در اون ها فایل های مهم یا آسیب پذیری هایی وجود داشته باشه. یکی از اون ابزار هایی که در این زمینه خیلی بدرد بخوره ابزار Gobuster هستش.
gobuster یک جستجوگر DNS ،هاست مجازی (Virtualhost) و Directory هستش. این ابزار با استفاده از زبان برنامه نویسی Go نوشته شده که با استفاده از پسورد لیست (Wordlist) سایت مورد نظر رو اسکن میکنه.
***اما ممکن یه سوالی پیش بیاد و اونم :
یک طراح سایت زمانی که درحال دسته بندی مطالب یا منابع وبسایت هست، اون ها رو بصورت پوشه ای طبقه بندی میکنه و بعدش از یکی از سایت های میزبان وب یا در واقع همون (hosting) استفاده میکنه و اون پوشه ها و منابع رو روی حافظه ای که سایت میزبان ارائه میده آپلود میکنه ،حالا اگه ما دایرکتوری های یک سایت رو به وسیلهی این ابزار اسکن کنیم در واقع در حال جستجو روی پوشه های سایت در سرور میزبان هستیم و در این بین ممکنه به اطلاعات جالبی بر بخوریم. (:
*** لینک دانلود ابزار ***
نصب با استفاده از پکیج منیجر لینوکس(debian):
sudo apt install gobuster
نصب با استفاده از گیت:
git clone https://github.com/OJ/gobuster.git
sudo apt install golang-go;cd gobuster;go get && go build;go install
امیدوارم لذت برده باشید (:
متخصص تست نفوذ و امنیت
مهران کیاء , هکر کلاه خاکستری , فعال در حوزه تست نفوذ و امنیت , علاقه مند به مباحث شبکه و برنامه نویسی عاشق یادگیری و آموزش دادن. دوستان عزیز جهت مطرح کردن سوالات و مشکلات خودشون در دوره های آموزشی بنده میتونن از طریق کانال تلگرام اقدام کنند. https://t.me/MehranKiyaNET
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود