توی این مطلب میخوایم در رابطه با یکی از ابزار های بسیار خوب و کاربردی در زمینه تست نفوذ و به ویژه باگ بانتی بنام Gobuster صحبت کنیم. اما قبل از اون اجازه بدید مفهوم اصلی باگ بانتی رو توضیح بدیم و بعدش با کاربرد این ابزار در این حوزه آشنا بشیم.

باگ بانتی (Bug Bounty) چیست؟

جالبه بدونید خود کلمه باگ (Bug) به معنی حشره است و برنامه bug bounty معامله ای هست که توسط بسیاری از وب سایت ها ، سازمان ها و توسعه دهندگان نرم افزار ارائه می شه و بر اساس اون افراد می تونن به ازای گزارش اشکالات و شناسایی اون ها به ویژه مواردی که مربوط به سوء استفاده های امنیتی و آسیب پذیری ها هست پاداش دریافت کنند.این برنامه ها به توسعه دهندگان اجازه می دهه تا اشکالات رو قبل از آگاهی عموم مردم از آنها کشف و برطرف کرده و از وقوع سوء استفاده گسترده جلوگیری کنند. برنامه های باگ بانتی توسط تعداد زیادی از سازمان ها از جمله :

  • Mozilla
  • Facebook
  • !Yahoo
  • Google
  • Reddit
  • Square
  • Microsoft ، و جایزه اشکال اینترنت.

شرکت های خارج از صنعت فناوری ، از جمله سازمان های سنتی محافظه کار مثل وزارت دفاع ایالات متحده ، شروع به استفاده از برنامه های باگ بانتی کرده اند.

ابزار Gobuster چیست و چه کاربردی در حوزه باگ بانتی دارد؟

خب تا به اینجا با مفهوم کلی باگ بانتی اشنا شدیم حالا بریم سراغ بحث اصلیمون یعنی ابزار gobuster و کاربرد اون در زمینه باگ بانتی:

باید بگیم محققین تست نفوذ با استفاده از ابزار های مختلف اقدام به اسکن سایت برای بیرون کشیدن اطلاعات مهم یا کشف آسیب پذیری در زیردامنه (Subdomain) یا دایرکتوری های مختلف میکنند که ممکنه در اون ها فایل های مهم یا آسیب پذیری هایی وجود داشته باشه. یکی از اون ابزار هایی که در این زمینه خیلی بدرد بخوره ابزار Gobuster هستش.

ابزار gobuster چیست؟

gobuster یک جستجوگر DNS ،هاست مجازی (Virtualhost) و Directory هستش. این ابزار با استفاده از زبان برنامه نویسی Go نوشته شده که با استفاده از پسورد لیست (Wordlist) سایت مورد نظر رو اسکن می‌کنه.

***اما ممکن یه سوالی پیش بیاد و اونم :

دلیل اینکه دایرکتوری ها مهم هستند چیست؟

یک طراح سایت زمانی که درحال دسته بندی مطالب یا منابع وبسایت هست، اون ها رو بصورت پوشه ای طبقه بندی می‌کنه و بعدش از یکی از سایت های میزبان وب یا در واقع همون (hosting) استفاده می‌کنه و اون پوشه ها و منابع رو روی حافظه ای که سایت میزبان ارائه می‌ده آپلود می‌کنه ،حالا اگه ما دایرکتوری های یک سایت رو به وسیله‌ی  این ابزار اسکن کنیم در واقع در حال جستجو روی پوشه های سایت در سرور میزبان هستیم و در این بین ممکنه به اطلاعات جالبی بر بخوریم. (:

منبع: سایت توسینسو

  • فرزانه سادات عظیمی
  • شهریور 12, 1400
  • 23 بازدید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اطلاعیه فروشگاه: محصولات در حال اضافه شدن هستند در صورتی که کالای خود را نیافتید با ما تماس بگیرید.تماس در واتساپ با 09193293935
+
بستن
مقایسه