dirsearch:Web 路径发现工具,安全测试绕不开
文章目录dirsearchWeb 路径发现工具安全测试绕不开它解决什么问题用起来什么感觉Python API 是个加分项实际场景里怎么用dirsearchWeb 路径发现工具安全测试绕不开做 Web 安全测试第一步往往是搞清楚目标服务器上到底藏了哪些路径。管理后台、备份文件、配置文件这些东西不会出现在页面导航里但一旦被发现就可能成为突破口。dirsearch 就是专门干这事的工具在 GitHub 上拿了 1.4 万 Star算是这个领域的标杆。它解决什么问题Web 服务器的目录结构不会主动暴露给你。你访问一个网站看到的只是前端渲染出来的页面但服务器上可能有 /admin、/backup、/.env 这样的路径这些才是安全测试真正关心的东西。dirsearch 的原理不复杂拿一份字典挨个去请求目标服务器看哪些路径返回了有效响应。听起来简单但实际做起来要考虑的事情很多。请求速率怎么控制遇到重定向怎么处理递归扫描怎么设置深度这些 dirsearch 都处理好了。用起来什么感觉安装简单Python 3.11 以上就行。可以直接 git clone 下来跑也可以用 pip 装还能用 PyInstaller 打包的二进制文件。最基础的用法一行命令dirsearch -u https://example.com -e php,html,js指定目标 URL 和要探测的文件扩展名它就开始跑了。返回结果里会列出发现的路径、状态码和响应大小一眼就能看出哪些是有价值的。进阶玩法不少。递归扫描可以一层层往下挖比如发现了 /admin/它会自动去探测 /admin/ 下面还有什么。会话管理功能允许暂停扫描下次接着跑不用从头来。字典支持变量替换可以用 %EXT% 这样的占位符自动扩展成不同后缀。Python API 是个加分项dirsearch 最近加了 Python API可以在代码里直接调用。这意味着你可以把它集成到自己的自动化流程里不用每次都敲命令行。比如写个脚本批量扫描多个目标或者跟其他安全工具串起来用。项目文档写得挺全安装、使用、字典、配置、API 都有单独的说明页面。对新手来说照着文档走一遍就能上手。实际场景里怎么用安全评估、红队演练、漏洞挖掘这些场景都需要路径发现。dirsearch 在这些场景下表现稳定扫描速度快结果准确。但有两点要注意。一是字典质量直接影响扫描效果工具再好字典不行也白搭。二是扫描会产生大量请求对目标服务器有一定压力在授权范围内使用是前提。dirsearch 由两位开发者持续维护代码开源GPL v2 协议。如果你在做 Web 安全相关的工作这个工具值得装一个。开源GPL v2 协议。如果你在做 Web 安全相关的工作这个工具值得装一个。

相关新闻

STM32与XTR116的4-20mA电流环设计实战

STM32与XTR116的4-20mA电流环设计实战

1. 4-20mA电流环技术背景与XTR116选型考量工业现场最头疼的问题莫过于信号传输过程中的干扰——电机启停造成的电压波动、变频器产生的高频噪声、长距离传输导致的信号衰减,这些都会让传统的电压信号传输变得不可靠。而4-20mA电流环技术就像给信号穿上了防弹衣&…

2026/7/5 7:16:50阅读更多 →
AI Agent实战指南:从误区到落地,构建自主规划智能体

AI Agent实战指南:从误区到落地,构建自主规划智能体

AI Agent 这个概念最近被讨论得很多,但很多人在刚接触时,可能把它的能力想得太“玄学”了,或者直接把它当成一个更高级的“自动化脚本”来用。这两种理解,都容易让你在实际落地时踩坑。AI Agent 的核心价值,不是替代人…

2026/7/5 7:11:50阅读更多 →
Awesome OpenClaw Skills:4000+ 中文 AI 技能库

Awesome OpenClaw Skills:4000+ 中文 AI 技能库

文章目录Awesome OpenClaw Skills:4000 中文 AI 技能库Awesome OpenClaw Skills:4000 中文 AI 技能库 OpenClaw 是一个 AI 智能体平台,支持 QQ、企业微信、飞书、钉钉等多种客户端。 Awesome OpenClaw Skills 是该平台的官方中文技能库&…

2026/7/5 8:31:54阅读更多 →
PyTorch GPU Tensor转NumPy:4步解决CUDA数据到CPU的跨设备转换

PyTorch GPU Tensor转NumPy:4步解决CUDA数据到CPU的跨设备转换

PyTorch GPU Tensor转NumPy:高效跨设备转换的工程实践在深度学习模型训练和推理过程中,我们经常需要将GPU上的Tensor数据转换到CPU内存中,以便使用NumPy进行后续处理或可视化。这种跨设备的数据转换看似简单,但其中隐藏着不少性能…

2026/7/5 8:31:54阅读更多 →
VIISP 模块培训总结:从接口协议到实战排查

VIISP 模块培训总结:从接口协议到实战排查

# VI&ISP 模块培训总结:从接口协议到实战排查 > **摘要**:本文系统梳理了视频输入(VI)与图像信号处理(ISP)模块的核心知识体系,涵盖 MIPI/LVDS/DC/BT.656/BT.1120 等视频接口协议、Senso…

2026/7/5 8:31:54阅读更多 →
如何用DyberPet打造你的专属数字伙伴:5步快速上手指南

如何用DyberPet打造你的专属数字伙伴:5步快速上手指南

如何用DyberPet打造你的专属数字伙伴:5步快速上手指南 【免费下载链接】DyberPet Desktop Cyber Pet Framework based on PySide6 项目地址: https://gitcode.com/GitHub_Trending/dy/DyberPet 你是否曾经希望有一个可爱的桌面伙伴,既能陪伴你的工…

2026/7/5 8:31:54阅读更多 →
百考通AI输入题目输出高质量开题初稿

百考通AI输入题目输出高质量开题初稿

开题报告是学术研究的“第一道门槛”,它不仅决定你的选题能否通过,更直接影响后续论文的结构完整性、论证深度与完成效率。然而,许多学生在撰写过程中常常感到力不从心:问题意识模糊、文献综述堆砌无主线、研究方法描述空泛、整体…

2026/7/5 8:31:54阅读更多 →
pe热收缩膜的印刷工艺有几种?

pe热收缩膜的印刷工艺有几种?

pe热收缩膜的印刷工艺有几种?在现代包装行业中,PE热收缩膜因其良好的柔韧性、透明度以及收缩性能,被广泛应用于各类产品的包装。而印刷工艺作为提升PE热收缩膜美观度和实用性的重要环节,其种类多样。同时,青岛昌瑞工业…

2026/7/5 8:26:54阅读更多 →
从GitHub安全案例解析常见漏洞与防护实践

从GitHub安全案例解析常见漏洞与防护实践

1. 项目概述:从GitHub Trending看安全实战 最近在GitHub Trending上看到一个项目,叫 skills4/skills ,它因为一些安全漏洞案例被大家讨论。这其实是一个挺典型的场景:一个旨在展示或教授某种技能的仓库,本身却成了安…

2026/7/5 0:01:08阅读更多 →
MLT 2026启示:因果推理与概率建模驱动下一代LLM应用

MLT 2026启示:因果推理与概率建模驱动下一代LLM应用

# MLT 2026启示:因果推理与概率建模驱动下一代LLM应用## 一、背景与挑战:从“黑箱预测”到“可信推理”2026年6月,第7届机器学习与趋势国际会议(MLT 2026)将在悉尼召开。会议议程中,“因果与可解释机器学习…

2026/7/5 0:01:08阅读更多 →
通达OA SQL注入漏洞深度剖析:从手工注入到自动化利用与防御

通达OA SQL注入漏洞深度剖析:从手工注入到自动化利用与防御

1. 项目概述与漏洞背景最近在梳理一些历史OA系统的安全风险时,通达OA v11.6版本中的一个老漏洞又进入了我的视线。这个漏洞位于/general/bi_design/appcenter/report_bi.func.php文件中,是一个典型的SQL注入点。虽然这个漏洞的利用方式看起来并不复杂&am…

2026/7/5 0:01:08阅读更多 →
从GitHub安全案例解析常见漏洞与防护实践

从GitHub安全案例解析常见漏洞与防护实践

1. 项目概述:从GitHub Trending看安全实战 最近在GitHub Trending上看到一个项目,叫 skills4/skills ,它因为一些安全漏洞案例被大家讨论。这其实是一个挺典型的场景:一个旨在展示或教授某种技能的仓库,本身却成了安…

2026/7/5 0:01:08阅读更多 →
MLT 2026启示:因果推理与概率建模驱动下一代LLM应用

MLT 2026启示:因果推理与概率建模驱动下一代LLM应用

# MLT 2026启示:因果推理与概率建模驱动下一代LLM应用## 一、背景与挑战:从“黑箱预测”到“可信推理”2026年6月,第7届机器学习与趋势国际会议(MLT 2026)将在悉尼召开。会议议程中,“因果与可解释机器学习…

2026/7/5 0:01:08阅读更多 →
通达OA SQL注入漏洞深度剖析:从手工注入到自动化利用与防御

通达OA SQL注入漏洞深度剖析:从手工注入到自动化利用与防御

1. 项目概述与漏洞背景最近在梳理一些历史OA系统的安全风险时,通达OA v11.6版本中的一个老漏洞又进入了我的视线。这个漏洞位于/general/bi_design/appcenter/report_bi.func.php文件中,是一个典型的SQL注入点。虽然这个漏洞的利用方式看起来并不复杂&am…

2026/7/5 0:01:08阅读更多 →
YOLOv8推理性能优化:从1.2FPS到35FPS的全链路加速实践

YOLOv8推理性能优化:从1.2FPS到35FPS的全链路加速实践

如果你在部署 YOLOv8 时,发现推理速度只有可怜的 1-2 FPS,而别人的演示视频却能跑到 30 FPS 以上,那么问题很可能不在模型本身,而在于你的整个处理链路。很多开发者拿到一个训练好的 YOLOv8 模型后,会直接使用官方示例…

2026/7/5 1:30:27阅读更多 →
Coze与Dify对比指南:低代码AI应用开发从入门到实战

Coze与Dify对比指南:低代码AI应用开发从入门到实战

1. 从零到一:为什么你需要了解 Coze 和 Dify?如果你对 AI 应用开发感兴趣,但一看到“大模型”、“智能体”、“工作流”这些词就头疼,觉得门槛太高,那这篇文章就是为你准备的。很多开发者,包括我自己&#…

2026/7/5 3:48:10阅读更多 →
AI生图工具怎么选?2026年6月版实测对比

AI生图工具怎么选?2026年6月版实测对比

做自媒体的朋友应该都有体会:配图一直是个让人头疼的问题。2026年,AI生图工具已经非常成熟了,但工具太多反而不知道怎么选。以下是截至2026年6月我对主流AI生图工具的实测对比。Midjourney V8.1:速度之王2026年6月11日&#xff0c…

2026/7/5 3:48:09阅读更多 →