Gobuster Nədir?

admin
Pentest alətləri

Gobuster nədir?

Gobuster, veb tətbiqlərinin qapalı (fayl və qovluq) yollarını tapmaq üçün istifadə olunan açıq mənbə (open-source) bir alətdir. Bu alət, veb serverində mövcud olan gizli faylları, qovluqları, subdomenləri və ya API yol hissələrini tapmaq üçün fəal şəkildə araşdırmalar aparır. Əsasən penetration testing (kiber təhlükəsizlik testləri) və veb tətbiq analizləri üçün çox faydalıdır. Gobuster, buraxılışına görə çox sürətli və çox güclü alətlərdən biridir.

Gobuster aləti, əksərən brute force (ağır qırma) texnikası ilə veb serverinə müxtəlif ehtimalları göndərir. Bu ehtimallar isə adətən bir çox fayl adı, subdomen adı və ya URL hissələri ola bilər.

Gobuster-in Əsas Xüsusiyyətləri:

  1. Fayl və Qovluq Dizinlənməsi – Gobuster, URL yolunda olan gizli qovluqlar və faylları tapmaq üçün çox effektivdir.
  2. Subdomen Axtarışı – DNS subdomenlərini aşkar etmək üçün də istifadə edilə bilər.
  3. Brute Force Texnikası – Test ediləcək URL və subdomenlər üçün böyük ehtimallar dəstini sürətli şəkildə yoxlamağa imkan verir.
  4. Güclü və Sürətli Performans – Paralel sorğular göndərmə imkanı ilə sürətli nəticələr əldə etmək mümkündür.

Gobuster Necə İşləyir?

Gobuster, istifadəçinin verdiyi yol listinə əsaslanaraq mümkün olan URL-ləri yoxlayır. Bu URL-lər adətən fayl adları və qovluq adları ilə əlaqədardır. Gobuster, HTTP və HTTPS protokollarında işləyir və bu yolla veb tətbiqinin əslində hansı fayllara və ya qovluqlara giriş əldə edilə biləcəyini müəyyən edir.

Gobuster-i Necə Yükləmək və İstifadə Etmək?

  1. Yükləmə (Linux, MacOS və Windows Üçün): Gobuster, əsasən Go dilində yazılmışdır və Go dilinin quraşdırıldığı hər hansı bir sistemdə işləyir. go əmrini və ya apt, brew kimi paket menecerlərini istifadə edərək Gobuster-i quraşdıra bilərsiniz.Linux Üçün (Debian/Ubuntu): 
    sudo apt update
sudo apt install gobuster

    MacOS Üçün (Homebrew ilə):

    brew install gobuster

    Windows Üçün: Windows üçün Gobuster-i Go dilinin rəsmi saytından yükləyə bilərsiniz və ya Go dilini quraşdırıb go get github.com/OJ/gobuster əmri ilə yükləyə bilərsiniz.

  2. Go ilə Yükləmə: Gobuster Go dilində yazıldığından, go get əmrindən istifadə edərək onu quraşdıra bilərsiniz: 
    go install github.com/OJ/gobuster/v3@latest
  3. İstifadə Qaydası: Gobuster istifadə etmək üçün terminala əmrləri daxil edərək onu işə sala bilərsiniz. Aşağıda bəzi əsas istifadələrə nümunələr verilmişdir.Fayl/Qovluq Dizinlənməsi: Fayl və qovluq dizinləmək üçün aşağıdakı əmri istifadə edə bilərsiniz: 
    gobuster dir -u https://example.com -w /path/to/wordlist.txt

    Bu əmr example.com ünvanında /path/to/wordlist.txt faylından alınan hər bir yolu test edəcəkdir.

    Subdomen Dizinlənməsi: Gobuster, subdomenləri tapmaq üçün də istifadə edilə bilər. Aşağıdakı əmr subdomen axtarışı üçün istifadə olunur:

    gobuster dns -d example.com -w /path/to/wordlist.txt

    Bu əmr, example.com domaini üçün subdomenləri tapmaq məqsədi ilə /path/to/wordlist.txt faylını istifadə edir.

    Əlavə Seçimlər:

    • -u : Hedef URL (https://example.com)
    • -w : Kəlimələr siyahısı (wordlist)
    • -t : Paralel sorğu sayı (default: 10)
    • -o : Nəticələrin çıxarılacağı fayl (output file)
    • -x : URL-lərin sonuna əlavə ediləcək fayl uzantıları

    Məsələn:

    gobuster dir -u https://example.com -w /path/to/wordlist.txt -t 50 -o results.txt

    Bu əmrlə 50 paralel sorğu ilə example.com üzərində testlər aparılacaq və nəticələr results.txt faylına yazılacaq.

  4. Fayl Formatları: Gobuster nəticələrini müxtəlif formatlarda çıxara bilər:
    • -o results.json (JSON formatı)
    • -o results.txt (Text formatı)

Gobuster-in Göstəriciləri və Seçimləri:

  • -u : URL-nin ünvanını göstərir.
  • -w : Wordlist (sözlük) faylını göstərir.
  • -x : Əlavə ediləcək fayl uzantıları.
  • -t : Paralel testlərin sayı.
  • -o : Nəticə faylının adı.
  • -c : Status kodları ilə əlaqəli olan filtrləmə.
  • -l : Yalnız səhv nəticələri göstərmək.

Nümunə Əmr:

Məsələn, bir veb saytdakı gizli qovluqları tapmaq üçün belə bir əmr istifadə edə bilərsiniz:

gobuster dir -u https://example.com -w /path/to/wordlist.txt -x .php,.html,.js -t 50

Bu əmr, example.com saytında /path/to/wordlist.txt faylındakı hər bir yolu yoxlayacaq və .php, .html, .js uzantılı fayllara baxacaq, 50 paralel sorğu ilə işləyəcək.

Gobuster-i Harada və Necə İstifadə Edirik?

Gobuster, əsasən penetrasiya testləri, veb tətbiq analizləri, təhlükəsizlik araşdırmaları və veb səhifələrindəki mövcud olmayan, amma mövcud ola biləcək yolları tapmaq məqsədi ilə istifadə olunur. Təhlükəsizlik mütəxəssisləri və “ethical hackers” (etik hackerlər) üçün çox faydalıdır. Gobuster, həmçinin veb səhifələrinin performansını artırmağa kömək edə biləcək qovluqları və faylları tapmaqda istifadə olunur.

Nəticə:

Gobuster, çox güclü və sürətli bir alətdir və veb təhlükəsizlik testlərində istifadəçilərə fayl dizinlənməsi, subdomen axtarışı və brute-force testləri aparmağa imkan verir. Gobuster-in düzgün və effektiv istifadəsi, veb tətbiqlərini analiz edərkən çox faydalıdır. Həmçinin, alətin sadə qurulumu və istifadəsi onu həm yeni başlayanlar, həm də təcrübəli istifadəçilər üçün əlverişli edir.

Related Posts

Bir cavab yazın

Sizin e-poçt ünvanınız dərc edilməyəcəkdir. Gərəkli sahələr * ilə işarələnmişdir