مهران کیاء
متخصص تست نفوذ و امنیت

ابزار Gobuster چیست و چه کاربردی در حوزه باگ بانتی دارد؟

توی این مطلب میخوایم در رابطه با یکی از ابزار های بسیار خوب و کاربردی در زمینه تست نفوذ و به ویژه باگ بانتی بنام Gobuster صحبت کنیم. اما قبل از اون اجازه بدید مفهوم اصلی باگ بانتی رو توضیح بدیم و بعدش با کاربرد این ابزار در این حوزه آشنا بشیم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

باگ بانتی (Bug Bounty) چیست؟

جالبه بدونید خود کلمه باگ (Bug) به معنی حشره است و برنامه bug bounty معامله ای هست که توسط بسیاری از وب سایت ها ، سازمان ها و توسعه دهندگان نرم افزار ارائه می شه و بر اساس اون افراد می تونن به ازای گزارش اشکالات و شناسایی اون ها به ویژه مواردی که مربوط به سوء استفاده های امنیتی و آسیب پذیری ها هست پاداش دریافت کنند.این برنامه ها به توسعه دهندگان اجازه می دهه تا اشکالات رو قبل از آگاهی عموم مردم از آنها کشف و برطرف کرده و از وقوع سوء استفاده گسترده جلوگیری کنند. برنامه های باگ بانتی توسط تعداد زیادی از سازمان ها از جمله :

  • Mozilla
  • Facebook
  • !Yahoo
  • Google
  • Reddit
  • Square
  • Microsoft ، و جایزه اشکال اینترنت.

شرکت های خارج از صنعت فناوری ، از جمله سازمان های سنتی محافظه کار مثل وزارت دفاع ایالات متحده ، شروع به استفاده از برنامه های باگ بانتی کرده اند.

ابزار Gobuster چیست و چه کاربردی در حوزه باگ بانتی دارد؟

خب تا به اینجا با مفهوم کلی باگ بانتی اشنا شدیم حالا بریم سراغ بحث اصلیمون یعنی ابزار gobuster و کاربرد اون در زمینه باگ بانتی:

باید بگیم محققین تست نفوذ با استفاده از ابزار های مختلف اقدام به اسکن سایت برای بیرون کشیدن اطلاعات مهم یا کشف آسیب پذیری در زیردامنه (Subdomain) یا دایرکتوری های مختلف میکنند که ممکنه در اون ها فایل های مهم یا آسیب پذیری هایی وجود داشته باشه. یکی از اون ابزار هایی که در این زمینه خیلی بدرد بخوره ابزار Gobuster هستش.

ابزار gobuster چیست؟

gobuster یک جستجوگر DNS ،هاست مجازی (Virtualhost) و Directory هستش. این ابزار با استفاده از زبان برنامه نویسی Go نوشته شده که با استفاده از پسورد لیست (Wordlist) سایت مورد نظر رو اسکن می‌کنه.

***اما ممکن یه سوالی پیش بیاد و اونم :

دلیل اینکه دایرکتوری ها مهم هستند چیست؟

یک طراح سایت زمانی که درحال دسته بندی مطالب یا منابع وبسایت هست، اون ها رو بصورت پوشه ای طبقه بندی می‌کنه و بعدش از یکی از سایت های میزبان وب یا در واقع همون (hosting) استفاده می‌کنه و اون پوشه ها و منابع رو روی حافظه ای که سایت میزبان ارائه می‌ده آپلود می‌کنه ،حالا اگه ما دایرکتوری های یک سایت رو به وسیله‌ی  این ابزار اسکن کنیم در واقع در حال جستجو روی پوشه های سایت در سرور میزبان هستیم و در این بین ممکنه به اطلاعات جالبی بر بخوریم. (:

***آموزش دانلود و نصب gobuster

*** لینک دانلود ابزار ***

نصب با استفاده از پکیج منیجر لینوکس(debian):

sudo apt install gobuster

نصب با استفاده از گیت:

git clone https://github.com/OJ/gobuster.git
sudo apt install golang-go;cd gobuster;go get && go build;go install


امیدوارم لذت برده باشید (:




مهران کیاء
مهران کیاء

متخصص تست نفوذ و امنیت

مهران کیاء , هکر کلاه خاکستری , فعال در حوزه تست نفوذ و امنیت , علاقه مند به مباحث شبکه و برنامه نویسی عاشق یادگیری و آموزش دادن. دوستان عزیز جهت مطرح کردن سوالات و مشکلات خودشون در دوره های آموزشی بنده میتونن از طریق کانال تلگرام اقدام کنند. https://t.me/MehranKiyaNET

نظرات