Category:OWASP DirBuster Project/es

Noticias 4 de abril de 2008 - Versión 0.9.12 disponible Se cambio la interfaz y se agregaron iconos Se restablecieron todas las fuentes Se corrigió un error en las configuraciones del proxy, donde no se guardaba el numero de puerto del proxy Se corrigió un error en OSX donde los botones de opciones avanzadas no se mostraban Se corrigió un error que no permitía el escaneo recursivo Se corrigió un error donde los analizadores no se reiniciaban Se agrego un jTableTree para ver los resultados, pero no ha sido terminado aun! 25 de marzo de 2008 - Versión 0.9.11 disponible Se corrigió error en opciones avanzadas, el cual causaba que la configuración del Proxy siempre se estableciera Se agrego una opción para limitar el numero de peticiones por segundo Se mejoro la forma en la que trabaja la tabla de resultados Se corrigió un error que causaba que las respuestas fueran desplegadas incorrectamente Se corrigió un error que causaba que la selección de las tablas no trabajara correctamente Se corrigió un error que causaba que las extensiones en blanco dejaran de funcionar 7 de enero de 2008 - Versión 0.9.10 disponible Se corrigió un error que prevenía que DirBuster trabajara en una versión de Java menor que 1.5. Ahora corre bajo Java 1.5, pero el ordenamiento de resultados esta deshabilitado. 7 de enero de 2008 - Versión 0.9.9 solo funciona con Java 1.6 o superior Estoy trabajando en el problema y una corrección debería ser liberada pronto. 3 de enero de 2008 - Versión 0.9.9 disponible Todos los archivos se subieron a source forge y están listos para descargarse! 18 de diciembre de 2007 - Versión 0.9.9 casi terminada Descripción DirBuster es una aplicación Java multi hilo diseñada para obtener por fuerza bruta los nombres de directorios y archivos en servidores Web/de aplicación. A menudo ocurre que lo que ahora parece un servidor Web en una fase de instalación por omisión no lo es, y tiene paginas y aplicaciones ocultas. DirBuster trata de encontrar estos. Sin embargo, las herramientas de esta naturaleza a menudo son solo tan buenas como la lista de archivos y directorios con los que vienen. Un enfoque diferente fue usado para generar esto. La lista fue generada desde cero, rastreando en Internet y colectando los directorios y archivos que son realmente usados por los desarrolladores! DirBuster viene con un total de 0 listas diferentes (Mas información puede ser encontrada mas adelante), esto hace a DirBuster extremadamente efectivo encontrando esos archivos y directorios ocultos. Y si eso no fuera suficiente, DirBuster también tiene la opción de realizar fuerza bruta pura, lo que no les deja lugar para esconderse a los archivos y directorios ocultos! Si tiene el tiempo ;) Lo que DirBuster puede hacer por usted Trata de encontrar paginas/directorios ocultos y directorios con una aplicación Web, de ahí que da otra variante de ataque (Por ejemplo, encontrar una pagina de administración sin ligas hacia ella). Lo que DirBuster no hará por usted No explotara nada de lo que encuentre. Este no es el objetivo de DirBuster. El único trabajo de DirBuster es encontrar otras posibles variantes de ataques. ¿ Como ayuda DirBuster para construir aplicaciones seguras? Encontrando contenido en el servidor Web o dentro de la aplicación que no es requerido. Ayudando a los desarrolladores a entender que por no ligar una pagina no quiere decir que no puede ser accesada. Descarga El ultimo código ahora esta siendo mantenido en un repositorio de SourceForge https://sourceforge.net/projects/dirbuster/ Ver todas las descargas de DirBuster Versión actual Estable - 0.9.12 DirBuster-0.9.12.tar.bz2 (jar + listas) DirBuster-0.9.12.zip (jar + listas) DirBuster-0.9.10.dmg (jar + listas) Dev - 1.0 Solo sourceforge.net CVS código fuente actual Estable - 0.9.12 DirBuster-0.9.12-src.tar.bz2 Listas de DirBuster Listas basadas en texto solamente. Actual DirBuster-Lists.tar.bz2 instalación y uso Descomprimir el archivo cd al directorio del programa Para ejecutar el programa java -jar DirBuster-0.9.7.jar (Usuarios de Windows, debería funcionar simplemente con doble clic en el jar) La lista recomendada para usar es directory-list-2.3-medium.txt Requerimientos DirBuster requiere Java 1.6 o superior. Puede descargase de http://java.sun.com/. NOTA: DirBuster se ejecutara bajo java 1.5, pero algunas funciones menores están deshabilitadas Ordenamiento de la tabla de resultados Todas las otras APIs usadas han sido incluidas dentro de la descarga principal. Información de licencia El programa en Java "DirBuster" es distribuido bajo LGPL Las listas de directorio son distribuidas bajo Creative Commons Attribution-Share Alike 3.0 License

[hide]  1 Noticias 2 Descripción 2.1 Lo que DirBuster puede hacer por usted 2.2 Lo que DirBuster no hará por usted 2.3 ¿ Como ayuda DirBuster para construir aplicaciones seguras? 3 Descarga 3.1 Versión actual 3.2 código fuente actual 3.3 Listas de DirBuster 3.4 instalación y uso 3.5 Requerimientos 3.6 Información de licencia 4 Objetivos del proyecto 5 Características 6 Listas de DirBuster 7 Como funciona DirBuster 8 Futuros planes de desarrollo 9 Plan de trabajo 10 Otros proyectos que usan las listas DirBuster 11 Retroalimentación y participación 11.1 Lista de correo de DirBuster 12 Colaboradores del proyecto 12.1 Desarrolladores 12.2 API's externas usadas 12.3 Otro código usado internamente

Objetivos del proyecto

Los objetivos del proyecto DirBuster son los siguientes:

• Producir una herramienta que asista en las pruebas de aplicación de caja negra, tratando de encontrar contenido oculto.
• Asegurarse que la herramienta producida provea información de tal forma que cualquier falso positivo producido pueda ser identificado rápidamente.
• Producir listas basadas en texto que puedan ser usadas por la herramienta mencionada.

Características

DirBuster tiene las siguientes características:

• Multi hilado ha sido registrado arriba de 6000 peticiones/segundo.
• Funciona con http y https
• Busca directorios y archivos
• Buscara recursivamente en los directorios que encuentre
• Capaz de hacer escaneo basado en listas o fuerza bruta pura
• DirBuster puede ser iniciado en cualquier directorio
• Cabeceras HTTP personalizadas pueden ser agregadas
• Soporte para proxy
• Cambio automático entre peticiones HEAD y GET
• Modo analizador de contenidos cuando intentos fallidos regresen como 200
• Extensiones de archivos personalizadas pueden ser usadas
• El desempeño puede ser ajustado mientras el programa esta en ejecución

Listas de DirBuster

DirBuster viene con un conjunto único de listas de archivos y directorios, estas han sido generadas basadas en los nombres de archivo y directorio que son realmente usados por desarrolladores en sitios de Internet. El orden de las listas esta basado en la frecuencia del elemento encontrado. Por lo tanto, los elementos mas comunes aparecen hasta arriba. Estas listas son las que hacen DirBuster.

NOTA: No será sorpresa para usted que Internet esta lleno de pornografía, de ahí que no es sorprendente que la arana utilizada para generar las listas visito algunas en el camino. De ahí que hay palabras explicitas contenidas dentro de las listas. Mi postura en esto es simple, esta herramienta fue diseñada para ser usada como parte de pruebas de seguridad legitimas, y si hay archivos/directorios basados en palabras explicitas, los clientes querrían saber!!

Las siguientes listas están incluidas con DirBuster, o como una descarga separada:

• directory-list-2.3-small.txt - (87650 palabras) - Directorios/archivos que fueron encontrados en al menos 3 sitios diferentes
• directory-list-2.3-medium.txt - (220546 palabras) - Directorios/archivos que fueron encontrados en al menos 2 sitios diferentes
• directory-list-2.3-big.txt - (1273819 palabras) – Todos los Directorios/archivos que fueron encontrados
• directory-list-lowercase-2.3-small.txt - (81629 palabras) – Versión sin distinguir mayúsculas y minúsculas de directory-list-2.3-small.txt
• directory-list-lowercase-2.3-medium.txt - (207629 palabras) - Versión sin distinguir mayúsculas y minúsculas de directory-list-2.3-medium.txt
• directory-list-lowercase-2.3-big.txt - (1185240 palabras) Versión sin distinguir mayúsculas y minúsculas de directory-list-2.3-big.txt
• directory-list-1.0.txt - (141694 palabras) – Lista original sin ordenar
• apache-user-enum-1.0.txt - (8916 nombres de usuario) – Usada para descubrir usuarios de sistema en apache con el modulo userdir habilitado, basado en una lista de usuarios que he tenido (sin ordenar)
• apache-user-enum-2.0.txt - (10341 nombres de usuario) - Usada para descubrir usuarios de sistema en apache con el modulo userdir habilitado, basado en ~XXXXX encontrados durante la generación de la lista (ordenado)

Una descarga de solo las listas puede ser obtenida de aquí: DirBuster-Lists.tar.bz2

Como funciona DirBuster

Información detallada de como funciona DirBuster puede ser encontrada aquí: How_DirBuster_Works (en ingles)

Futuros planes de desarrollo

• Mejorar y terminar la parte java del programa
  • Agregar documentación acerca del programa, por ejemplo ayuda, FAQ’s
  • Documentar completamente el código
• Mejorar la maquina arana DirBuster que genera las listas
  • Reunir información de cosas como nombres de cookies, nombres de subdominios, nombres de variables de POST y GET

Plan de trabajo

• 0.9.8 – Agregar convertidor HTML (completo)
• 0.9.9 – Implementar la funcionalidad de omitir trabajo, NTLM auth (completo)
• 0.9.10 – Liberación de mantenimiento para corregir un error (completo)
• 1.0 – Documentación completa, generar listas nuevas
• 1.1 – Implementar funcionalidad para procesar listas de archivos y directorios por omisión.

Otros proyectos que usan las listas DirBuster

Otros proyectos que usan las listas producidas por DirBuster

• OWASP_JBroFuzz

Retroalimentación y participación

Esperamos que encuentre el proyecto OWASP DirBuster útil. Por favor contribuya con el proyecto ofreciéndose a alguna de las tareas y/o enviando sus comentarios, sugerencias a DirBuster@sittinglittleduck.com. Para unirse a la lista de correo del proyecto OWASP DirBuster o ver los archivos, favor de visitar la página de subscripción.

Por favor reporte todos los errores al rastreo de errores de SourceForge para DirBuster.

Agregar nuevo error

Lista de correo de DirBuster

Se puede suscribir a DirBuster aquí

Colaboradores del proyecto

Desarrolladores

Líder del proyecto: James Fisher

Contribuciones de código recibidas d:

• John Anderson

Paquetes para Mac de DirBuster

• Richard Dean

API's externas usadas

HttpClient - http://jakarta.apache.org/commons/httpclient/

BrowserLauncher2 - http://sourceforge.net/projects/browserlaunch2/

Convertidor HTML Jericho - http://jerichohtml.sourceforge.net/

swing-layout - https://swing-layout.dev.java.net/

jGoodies Look and feel - http://www.jgoodies.com/

Otro código usado internamente

Java GNU Diff Port - http://www.bmsi.com/java/

Apache Commons EasySSLProtocolSocketFactory.java - EasySSLProtocolSocketFactory.java

Apache Commons EasyX509TrustManager.java - EasyX509TrustManager.java

jTreeTable - http://java.sun.com/products/jfc/tsc/articles/treetable1/index.html