Сьогодні у нас в меню одна з найцікавіших технологій пошуку прихованої інформації на різних сайтах. Ім’я їй – URL Fuzzing. У перекладі українською – пошук неіндексованих директорій всередині сайту.
Але як знайти те, не знаю що?
Усе дуже просто – за словником. Розумні люди з GitHub створили величезну кількість різних софтин і словників для брутфорса каталогів сайту. Наприклад, у WordPress є ціла купа каталогів зі стандартними іменами, то чому б не перевірити їх на доступність?
За інструментами вибір теж є. Але я б рекомендував GoBuster (github.com/OJ/gobuster) і DirHunt (github.com/Nekmo/dirhunt). Перший включений до списку інструментів Kali Linux і вже містить у собі словник для брутфорсу директорій сайтів. Другий – не брутфорсер. Це гібридний краулер, який самостійно обраховує сайт і шукає цікаві директорії. І жодних танців із бубном зі словниками. Ну і навантаження він створює набагато менше.

Всі ці інструменти випробувані в бою і довели свою ефективність. Користуйтеся ними, але пам’ятайте: була б людина, а стаття знайдеться. Тому використання навіть таких нешкідливих речей може бути розцінено мало не як DDoS-атака на сайт. Тож майте це на увазі і дійте на свій страх і ризик.