DirBuster

DirBuster ist ein Werkzeug zur Auffindung versteckter Verzeichnisse und Dateien auf Webservern. Es nutzt Wörterlisten (Wordlists), um systematisch HTTP-Anfragen an Pfade zu stellen und auf Rückgabewerte wie 200 OK oder 403 Forbidden zu prüfen.

Erklärung

• Führt Wörterbuch-basiertes Fuzzing durch
• Findet z. B. /admin, /backup, /config.php, /test/
• Hilfreich zur Identifikation nicht verlinkter oder vergessener Dateien
• Kann in grafischer Oberfläche oder CLI verwendet werden
• Unterstützt HTTP und HTTPS

Installation

• apt install dirbuster

Anwendung

GUI-Start

• dirbuster

CLI-Start (Konsolenmodus)

• dirbuster -u http://opfer.secure.local -l /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 10

Parameter (CLI)=

• -u = Ziel-URL (z. B. http://opfer.secure.local)
• -l = Pfad zur Wortliste
• -t = Threads (z. B. 10)
• -e = Dateiendungen (z. B. .php,.bak,.txt)
• -r = Folgt Redirects
• -x = Exportiert Ergebnisse in Datei

Typische Wortlisten

• /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
• /usr/share/seclists/Discovery/Web-Content/common.txt

Typische Ausgabe

• 200 OK: Existierendes Verzeichnis oder Datei (z. B. /admin, /config.php)
• 403 Forbidden: Existiert, aber Zugriff verboten → Hinweis auf Schutz
• 301/302 Redirect: Weiterleitung → möglicherweise Login
• 500/401: Fehler oder Authentifizierungsanforderung

Grenzen

• Kann durch Ratenbegrenzung oder WAF blockiert werden
• Findet nur, was in der Wortliste enthalten ist
• Kein CVE-Scan – nur Pfadentdeckung

Alternativen und Ergänzungen

• ffuf – Schneller und moderner Fuzzer für Verzeichnisse und Parameter
• gobuster – Kommandozeilenorientiert, effizient, aktiv gepflegt
• Nikto – Erkennt Standardverzeichnisse im Rahmen eines Schwachstellenscans
• BurpSuite – Integrierte Content-Discovery mit Sessionhandling