攻擊目標(biāo)之前，最重要的是收集信息，搜索引擎就可以自動(dòng)爬取網(wǎng)站的內(nèi)容，不過搜索引擎都要遵守robots協(xié)議(這個(gè)…至于360搜索…)，robots.txt是網(wǎng)站管理創(chuàng)建的一個(gè)txt文件，告訴搜索引擎哪些文件需要被爬取、哪些文件不希望被爬取，

探測網(wǎng)站(一)burp suite探測Web目錄

。搜索引擎的spider的大致工作過程為首先請求一個(gè)頁面，然后分析這個(gè)頁面，查找該頁面連接到其他內(nèi)容的鏈接，然后再請求，如此循環(huán)。

    我們可以使用工具來自動(dòng)抓取Web站點(diǎn)的內(nèi)容，工作原理與spider技術(shù)大致相同，但是這些工具可不受robots的約束，它們還會(huì)根據(jù)robots中禁止的目錄來進(jìn)行爬取。spider工具可以爬取網(wǎng)站的文件和目錄，也可以分析HTML表單，并且可以按照指定的規(guī)則，提交表單。

    burp suite就是這樣一款工具。界面如圖：

   

    運(yùn)行burp suite需要本地安裝jdk，且配置了環(huán)境變量，點(diǎn)擊運(yùn)行里邊的suite.bat即可，如果不成功，編輯該文件，文本內(nèi)容替換成java -jar burpsuite_v1.4.01.jar即可（根據(jù)自己的版本，自行改變），

電腦資料

《探測網(wǎng)站(一)burp suite探測Web目錄》(http://www.oriental01.com)。burp suite還可以攔截本地瀏覽器的請求，修改攔截到的數(shù)據(jù)包，人為修改后在提交給Web服務(wù)器，前提是瀏覽器配置了本地的代理服務(wù)器IP為127.0.0.1，端口默認(rèn)8080，如截圖：

   

    ，點(diǎn)擊forward放行，點(diǎn)擊drop丟掉改包。這樣在本地瀏覽器中發(fā)出的包，都要經(jīng)過burp suite，如截圖：

   

    可以進(jìn)行相應(yīng)修改后，再放行，把包發(fā)出去。

    右擊burp suite攔截到的包，點(diǎn)擊發(fā)送到spider，burp suite就可以自動(dòng)爬取網(wǎng)站的目錄，如截圖:

   

    過一段時(shí)間就可以探測出Web服務(wù)器的本地目錄(由于spider是基于鏈接url地爬取，如果有的文件沒有被鏈接，那spider就很難抓取到)。抓取結(jié)果如截圖:

   

    本文只是個(gè)人學(xué)習(xí)筆記，發(fā)表出來并不贊成用各種工具和技術(shù)探測別人的服務(wù)器)。