Blog Wallpaper
A
ALI ALAKABRالأربعاء، 18 يونيو 2025

Dirsearch

مكتبة تعتمد على Python لـ dirs3arch تتيح لمختبري الاختراق أتمتة استطلاع البيئة المستضافة الخاصة بهم ومساعدة فرق ضمان الجودة على تضمين سيناريوهات حالة اختبار الأمان كجزء من إطار عمل الأتمتة الخاص بهم.

منذ شهران

Area Iconالأمن السيبراني - إختبار الإختراق0.4.3-1 النسخة

Dirsearch – اكتشاف الملفات المخفية في تطبيقات الويب

في مجال اختبار الاختراق وصيد الثغرات (Bug Bounty)، يُعتبر اكتشاف المجلدات والملفات المخفية من الخطوات الجوهرية في مرحلة جمع المعلومات (Recon). أداة Dirsearch هي واحدة من أقوى الأدوات المستخدمة لهذا الغرض، حيث تعمل من خلال سطر الأوامر وتعتمد على تقنيات Brute-force لاكتشاف المسارات المخفية التي قد تحتوي على صفحات إدارية، ملفات نسخ احتياطي، أو حتى ملفات تحتوي على معلومات حساسة.

تثبيت أداة Dirsearch على نظام Linux

git clone https://github.com/maurosoria/dirsearch.git --depth 1
cd dirsearch
pip install -r requirements.txt

الأداة مكتوبة بلغة Python وتعمل على جميع الأنظمة التي تدعم Python 3.

Dirsearch
Dirsearch

الاستخدام الأساسي

python3 dirsearch.py -u http://testphp.vulnweb.com -e php,html,js
  • -u: تحدد الرابط المطلوب.
  • -e: تحدد الامتدادات التي ترغب بالبحث عنها (php, html, js, ...).

أوامر متقدمة

استخدام قائمة كلمات مخصصة (Custom Wordlist)

python3 dirsearch.py -u http://target.com -w /path/to/wordlist.txt

لاستخدام لستة مخصصة حسب طبيعة الموقع المستهدف.

البحث التكراري (Recursive Bruteforcing)

python3 dirsearch.py -u http://target.com -r

يقوم بفحص المجلدات التي يتم العثور عليها بشكل متكرر بحثًا عن ملفات داخلية إضافية.

تضمين أو استثناء رموز استجابة محددة

تضمين رمز استجابة معين (مثل 403):

python3 dirsearch.py -u http://target.com -i 403

استثناء رمز استجابة (مثل 403):

python3 dirsearch.py -u http://target.com -x 403

إضافة تأخير بين الطلبات

python3 dirsearch.py -u http://target.com --delay=2

لتجنب الحظر المؤقت من أنظمة الـWAF .

استخدام User-Agent عشوائي

python3 dirsearch.py -u http://target.com --random-agent

أمثلة إضافية:

  • فحص شامل باستخدام ملف كلمات ومخرجات مفصلة:
python3 dirsearch.py -u http://example.com -w /usr/share/wordlists/dirb/common.txt -t 20 -e php,txt,bak -o results.txt
  • البحث في بروتوكول HTTPS مع تجاهل الشهادة:
python3 dirsearch.py -u https://example.com --no-check-certificate

الخلاصة

  • Dirsearch أداة مجانية ومفتوحة المصدر تساعد في اكتشاف المسارات والمجلدات المخفية على مواقع الويب.
  • يُمكنك استخدامها في مرحلة جمع المعلومات لتحديد النقاط التي قد تحتوي على ثغرات أمنية.
  • تدعم الأداة العديد من الميزات مثل: استخدام قوائم مخصصة، البحث التكراري، التحكم في رموز الاستجابة، التخفيف من الحظر عبر التأخير، وتغيير الـ User-Agent.

نصيحة أخيرة: عند استخدام Dirsearch، حاول دائمًا مطابقة الكلمة مع طبيعة الموقع، فمثلاً موقع مكتوب بـ PHP قد لا يحتوي على ملفات .aspx.

سوبرسايبر | Dirsearch