Backup-Finder 使用教程
1、项目介绍
Backup-Finder 是一个创新的 Burp Suite 扩展,旨在细致地扫描 Web 服务器以查找备份、旧文件、临时文件和未引用的文件。该工具特别适用于发现敏感信息,符合 OWASP WSTG-CONF-04 (OTG-CONFIG-004) 标准。它通过动态生成基于目标的负载,有效地识别其他工具可能遗漏的文件。
2、项目快速启动
安装步骤
使用 BApp Store(最快捷)
- 打开 Burp Suite。
- 导航到
Extender -> BApp Store。 - 搜索并安装 "Backup Finder" 扩展。
加载 JAR 文件
- 从仓库下载 BackupFinder jar 文件或从源代码构建。
- 打开 Burp Suite。
- 转到
Extender -> Extensions -> Add。 - 选择 BackupFinder jar 文件并添加到 Burp Suite。
使用步骤
- 选择一个请求:从 Burp Suite 的任何标签中选择目标主机请求。
- 配置选项:在
backupFinder -> Finder -> options标签中设置您的首选配置。 - 开始扫描:导航到
backupFinder -> Finder -> Finder标签并开始扫描。
3、应用案例和最佳实践
应用案例
假设有一个 Web 应用程序具有以下目录结构:
/
├───upload
│ ├───index.php
│ ├───index.php~
│ ├───index.php.bkup
│ └───upload.zip
├───users
│ └───catalog.zip
└───WeirdDirName
├───index.php
├───captcha.php
├───captcha.php.old
└───WeirdDirName.tar.gz
一个爬虫将检测到这个结构:
/
├───upload #Dir
├───├─── /
├───└───users #Dir
├───────├─── /
├───WeirdDirName #Dir
├───├─── /
├───├───captcha.php
Backup-Finder 通过动态生成基于此结构的负载,有效地识别文件如 index.php~、upload.zip 和 WeirdDirName.tar.gz,而其他工具可能遗漏这些文件。
最佳实践
- 定期使用 Backup-Finder 扫描 Web 服务器,以确保没有遗漏的敏感文件。
- 结合其他安全工具和策略,形成完整的安全防护体系。
4、典型生态项目
- Burp Suite: Backup-Finder 作为 Burp Suite 的扩展,与 Burp Suite 的其他功能协同工作,提供全面的安全测试解决方案。
- OWASP: 遵循 OWASP 的安全测试标准,Backup-Finder 是实施 OWASP WSTG-CONF-04 (OTG-CONFIG-004) 标准的理想工具。
通过这些模块的介绍和实践,您可以有效地使用 Backup-Finder 进行 Web 服务器的安全扫描和敏感信息发现。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
