Gobuster — это инструмент командной строки с открытым исходным кодом, предназначенный для перебора директорий, файлов и виртуальных хостов на веб-серверах. Он широко используется специалистами по безопасности и тестировщиками на проникновение для поиска скрытых ресурсов, недоступных через обычную навигацию по сайту.
Ключевые факты
Язык реализации: Go
Тип инструмента: Перебор директорий и поддоменов
Автор: Оливер Хоффманн (OJ Reeves)
Лицензия: Apache License 2.0
Первый релиз: около 2016 года
Назначение и возможности
Gobuster используется для обнаружения скрытых путей и файлов на веб-серверах методом брутфорса. Он также может проверять виртуальные хосты (vhost) и DNS-записи. Программа особенно полезна в процессе разведки при тестировании на проникновение, помогая выявлять потенциальные точки входа для дальнейшего анализа безопасности.
Принцип работы
Инструмент выполняет HTTP-запросы к целевому серверу, подставляя слова из заданного словаря в шаблон URL. Ответы анализируются по кодам состояния, времени отклика и размеру контента, что позволяет выявить существующие объекты. Благодаря многопоточности и написанию на Go, Gobuster работает значительно быстрее аналогов, написанных на интерпретируемых языках.
Использование и режимы
Gobuster поддерживает несколько режимов:
dir: поиск директорий и файлов;
dns: перебор поддоменов;
vhost: проверка виртуальных хостов;
fuzz: гибкий перебор произвольных параметров.
Пример базового использования:
gobuster dir -u http://example.com -w wordlist.txtЗначение для сообщества безопасности
Gobuster стал стандартным инструментом в арсенале пентестеров и используется в дистрибутивах вроде Kali Linux. Его эффективность, простота и открытая лицензия сделали его одним из самых популярных средств для разведки инфраструктуры веб-приложений.