This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Category:OWASP DirBuster Project/es

From OWASP
Jump to: navigation, search

Noticias

4 de abril de 2008 - Versión 0.9.12 disponible

  • Se cambio la interfaz y se agregaron iconos
  • Se restablecieron todas las fuentes
  • Se corrigió un error en las configuraciones del proxy, donde no se guardaba el numero de puerto del proxy
  • Se corrigió un error en OSX donde los botones de opciones avanzadas no se mostraban
  • Se corrigió un error que no permitía el escaneo recursivo
  • Se corrigió un error donde los analizadores no se reiniciaban
  • Se agrego un jTableTree para ver los resultados, pero no ha sido terminado aun!

25 de marzo de 2008 - Versión 0.9.11 disponible

  • Se corrigió error en opciones avanzadas, el cual causaba que la configuración del Proxy siempre se estableciera
  • Se agrego una opción para limitar el numero de peticiones por segundo
  • Se mejoro la forma en la que trabaja la tabla de resultados
  • Se corrigió un error que causaba que las respuestas fueran desplegadas incorrectamente
  • Se corrigió un error que causaba que la selección de las tablas no trabajara correctamente
  • Se corrigió un error que causaba que las extensiones en blanco dejaran de funcionar

7 de enero de 2008 - Versión 0.9.10 disponible

Se corrigió un error que prevenía que DirBuster trabajara en una versión de Java menor que 1.5. Ahora corre bajo Java 1.5, pero el ordenamiento de resultados esta deshabilitado.

7 de enero de 2008 - Versión 0.9.9 solo funciona con Java 1.6 o superior

Estoy trabajando en el problema y una corrección debería ser liberada pronto.

3 de enero de 2008 - Versión 0.9.9 disponible

Todos los archivos se subieron a source forge y están listos para descargarse!

18 de diciembre de 2007 - Versión 0.9.9 casi terminada

Descripción

Screen shot

DirBuster es una aplicación Java multi hilo diseñada para obtener por fuerza bruta los nombres de directorios y archivos en servidores Web/de aplicación. A menudo ocurre que lo que ahora parece un servidor Web en una fase de instalación por omisión no lo es, y tiene paginas y aplicaciones ocultas. DirBuster trata de encontrar estos.

Sin embargo, las herramientas de esta naturaleza a menudo son solo tan buenas como la lista de archivos y directorios con los que vienen. Un enfoque diferente fue usado para generar esto. La lista fue generada desde cero, rastreando en Internet y colectando los directorios y archivos que son realmente usados por los desarrolladores! DirBuster viene con un total de 0 listas diferentes (Mas información puede ser encontrada mas adelante), esto hace a DirBuster extremadamente efectivo encontrando esos archivos y directorios ocultos. Y si eso no fuera suficiente, DirBuster también tiene la opción de realizar fuerza bruta pura, lo que no les deja lugar para esconderse a los archivos y directorios ocultos! Si tiene el tiempo ;)

Lo que DirBuster puede hacer por usted

  • Trata de encontrar paginas/directorios ocultos y directorios con una aplicación Web, de ahí que da otra variante de ataque (Por ejemplo, encontrar una pagina de administración sin ligas hacia ella).

Lo que DirBuster no hará por usted

  • No explotara nada de lo que encuentre. Este no es el objetivo de DirBuster. El único trabajo de DirBuster es encontrar otras posibles variantes de ataques.

¿ Como ayuda DirBuster para construir aplicaciones seguras?

  • Encontrando contenido en el servidor Web o dentro de la aplicación que no es requerido.
  • Ayudando a los desarrolladores a entender que por no ligar una pagina no quiere decir que no puede ser accesada.

Descarga

El ultimo código ahora esta siendo mantenido en un repositorio de SourceForge https://sourceforge.net/projects/dirbuster/

Ver todas las descargas de DirBuster

Versión actual

Estable - 0.9.12

Dev - 1.0

  • Solo sourceforge.net CVS

código fuente actual

Estable - 0.9.12

Listas de DirBuster

Listas basadas en texto solamente.

Actual

instalación y uso

  1. Descomprimir el archivo
  2. cd al directorio del programa
  3. Para ejecutar el programa java -jar DirBuster-0.9.7.jar (Usuarios de Windows, debería funcionar simplemente con doble clic en el jar)
  4. La lista recomendada para usar es directory-list-2.3-medium.txt

Requerimientos

  • DirBuster requiere Java 1.6 o superior. Puede descargase de http://java.sun.com/.
  • NOTA: DirBuster se ejecutara bajo java 1.5, pero algunas funciones menores están deshabilitadas
    • Ordenamiento de la tabla de resultados

Todas las otras APIs usadas han sido incluidas dentro de la descarga principal.

Información de licencia

El programa en Java "DirBuster" es distribuido bajo LGPL

Las listas de directorio son distribuidas bajo Creative Commons Attribution-Share Alike 3.0 License

Objetivos del proyecto

Los objetivos del proyecto DirBuster son los siguientes:

  • Producir una herramienta que asista en las pruebas de aplicación de caja negra, tratando de encontrar contenido oculto.
  • Asegurarse que la herramienta producida provea información de tal forma que cualquier falso positivo producido pueda ser identificado rápidamente.
  • Producir listas basadas en texto que puedan ser usadas por la herramienta mencionada.

Características

DirBuster tiene las siguientes características:

  • Multi hilado ha sido registrado arriba de 6000 peticiones/segundo.
  • Funciona con http y https
  • Busca directorios y archivos
  • Buscara recursivamente en los directorios que encuentre
  • Capaz de hacer escaneo basado en listas o fuerza bruta pura
  • DirBuster puede ser iniciado en cualquier directorio
  • Cabeceras HTTP personalizadas pueden ser agregadas
  • Soporte para proxy
  • Cambio automático entre peticiones HEAD y GET
  • Modo analizador de contenidos cuando intentos fallidos regresen como 200
  • Extensiones de archivos personalizadas pueden ser usadas
  • El desempeño puede ser ajustado mientras el programa esta en ejecución

Listas de DirBuster

DirBuster viene con un conjunto único de listas de archivos y directorios, estas han sido generadas basadas en los nombres de archivo y directorio que son realmente usados por desarrolladores en sitios de Internet. El orden de las listas esta basado en la frecuencia del elemento encontrado. Por lo tanto, los elementos mas comunes aparecen hasta arriba. Estas listas son las que hacen DirBuster.

NOTA: No será sorpresa para usted que Internet esta lleno de pornografía, de ahí que no es sorprendente que la arana utilizada para generar las listas visito algunas en el camino. De ahí que hay palabras explicitas contenidas dentro de las listas. Mi postura en esto es simple, esta herramienta fue diseñada para ser usada como parte de pruebas de seguridad legitimas, y si hay archivos/directorios basados en palabras explicitas, los clientes querrían saber!!

Las siguientes listas están incluidas con DirBuster, o como una descarga separada:

  • directory-list-2.3-small.txt - (87650 palabras) - Directorios/archivos que fueron encontrados en al menos 3 sitios diferentes
  • directory-list-2.3-medium.txt - (220546 palabras) - Directorios/archivos que fueron encontrados en al menos 2 sitios diferentes
  • directory-list-2.3-big.txt - (1273819 palabras) – Todos los Directorios/archivos que fueron encontrados
  • directory-list-lowercase-2.3-small.txt - (81629 palabras) – Versión sin distinguir mayúsculas y minúsculas de directory-list-2.3-small.txt
  • directory-list-lowercase-2.3-medium.txt - (207629 palabras) - Versión sin distinguir mayúsculas y minúsculas de directory-list-2.3-medium.txt
  • directory-list-lowercase-2.3-big.txt - (1185240 palabras) Versión sin distinguir mayúsculas y minúsculas de directory-list-2.3-big.txt
  • directory-list-1.0.txt - (141694 palabras) – Lista original sin ordenar
  • apache-user-enum-1.0.txt - (8916 nombres de usuario) – Usada para descubrir usuarios de sistema en apache con el modulo userdir habilitado, basado en una lista de usuarios que he tenido (sin ordenar)
  • apache-user-enum-2.0.txt - (10341 nombres de usuario) - Usada para descubrir usuarios de sistema en apache con el modulo userdir habilitado, basado en ~XXXXX encontrados durante la generación de la lista (ordenado)

Una descarga de solo las listas puede ser obtenida de aquí: DirBuster-Lists.tar.bz2

Como funciona DirBuster

Información detallada de como funciona DirBuster puede ser encontrada aquí: How_DirBuster_Works (en ingles)

Futuros planes de desarrollo

  • Mejorar y terminar la parte java del programa
    • Agregar documentación acerca del programa, por ejemplo ayuda, FAQ’s
    • Documentar completamente el código
  • Mejorar la maquina arana DirBuster que genera las listas
    • Reunir información de cosas como nombres de cookies, nombres de subdominios, nombres de variables de POST y GET

Plan de trabajo

  • 0.9.8 – Agregar convertidor HTML (completo)
  • 0.9.9 – Implementar la funcionalidad de omitir trabajo, NTLM auth (completo)
  • 0.9.10 – Liberación de mantenimiento para corregir un error (completo)
  • 1.0 – Documentación completa, generar listas nuevas
  • 1.1 – Implementar funcionalidad para procesar listas de archivos y directorios por omisión.

Otros proyectos que usan las listas DirBuster

Otros proyectos que usan las listas producidas por DirBuster

Retroalimentación y participación

Esperamos que encuentre el proyecto OWASP DirBuster útil. Por favor contribuya con el proyecto ofreciéndose a alguna de las tareas y/o enviando sus comentarios, sugerencias a [email protected]. Para unirse a la lista de correo del proyecto OWASP DirBuster o ver los archivos, favor de visitar la página de subscripción.

Por favor reporte todos los errores al rastreo de errores de SourceForge para DirBuster.

Agregar nuevo error

Lista de correo de DirBuster

Se puede suscribir a DirBuster aquí

Colaboradores del proyecto

Desarrolladores

Líder del proyecto: James Fisher

Contribuciones de código recibidas d:

  • John Anderson

Paquetes para Mac de DirBuster

  • Richard Dean

API's externas usadas

HttpClient - http://jakarta.apache.org/commons/httpclient/

BrowserLauncher2 - http://sourceforge.net/projects/browserlaunch2/

Convertidor HTML Jericho - http://jerichohtml.sourceforge.net/

swing-layout - https://swing-layout.dev.java.net/

jGoodies Look and feel - http://www.jgoodies.com/

Otro código usado internamente

Java GNU Diff Port - http://www.bmsi.com/java/

Apache Commons EasySSLProtocolSocketFactory.java - EasySSLProtocolSocketFactory.java

Apache Commons EasyX509TrustManager.java - EasyX509TrustManager.java

jTreeTable - http://java.sun.com/products/jfc/tsc/articles/treetable1/index.html

This category currently contains no pages or media.