Bir web uygulaması sızma testi yapacak ya da zafiyet istismarı için çalışılacaksa ilk yapılması gereken ilgili uygulama hakkında olabildiğince fazla bilgi toplamaktır. Toplanan bilgiler ışığında saldırıların planlanması, hata ve boş yere zaman kaybından kurtulmanın bilinen en iyi yoludur.
Bu bilgi toplama aşamasında kullanılabilecek pek çok araç mevcut, örneğin daha önce URLBUSTER aracı hakkında bir yazı yayınlamıştık. Gobuster da bu araçlardan biri olmakla birlikte kendisini benzeri araçlardan ayrılan birçok iyi özelliği bulunuyor.
Gobuster, Go dilinde yazılmış bir dizin tarayıcı. Dirbuster ve Dirb gibi geleneksel kaba-kuvvet (brute-force) tarama araçlarından daha hızlı çalışmak ve daha az hata vermek gibi iki iyi ve önemli özelliği öne çıkıyor. Gobuster için diğerlerinin geliştirilmiş hali diyebiliriz.
En önemli avantajı Go dilini kullanmasından kaynaklanan ekstra bir hız sağlaması.
Bir de dezavantajlarına bakalım dersek, recursive yani yinelemeli dizin arama eksiğini görüyoruz. İlk seviye altındaki (birden fazla düzey derinliği bulunan) dizinler için ikinci bir tarama aracı kullanmak gerekiyor.
Gobuster kolay bir komut satırı arayüzü ile kullanılıyor. Araç kullanımı için birçok faydalı opsiyon sunulmuş, bu opsiyonları aşağıda incelemeye çalışacağız.
Yorumlar
Yorum Gönder