网站后台怎么转发网页内容(黑客们最常用的网站扫描工具，你知道吗？)

　　网站后台怎么转发网页内容(黑客们最常用的网站扫描工具，你知道吗？)

　　前言：

　　在网络渗透中，网站一直是黑客的重点攻击目标。面对网站，攻击者往往希望找到网站后端并登录以进一步控制网站服务器。

　　因此，如何获取网站后台登录地址是非常重要的第一步。

　　爬虫分析

　　爬虫分析的原理是从网站页面的HTML源码中不断爬取链接，分析潜在的后台登录地址。一般来说，后台登录页面的地址中，通常会出现login、admin、user等字样。

　　字典枚举

　　在很多情况下，通过爬虫获取后台登录地址是比较困难的，因为可能存在没有页面收录登录页面链接的情况。这时候我们也可以使用字典的方法来枚举并发起一个请求来观察返回。现在很多网站都是由一些公开的开源博客、BBS、cms等框架做成的，比如Discuz!等，这些开源项目的后台登录页面的名字都是固定的. 如果网站builder自己没有改，那么很容易得到这个地址。

　　强大的字典收录上万个常用的后台登录地址特征，通过枚举即可找到后台登录地址。

　　暴力枚举

　　最后，顾名思义，暴力枚举！字典枚举的核心是要有一个强大的字典，但是如果目标后台登录地址不在字典中，那就无能为力了。爬虫和字典无能为力的时候，只能靠蛮力枚举，就像试密码一样，字符的组合，无话可说。

　　说完这三种方法，小伙伴们一定要问了，有没有什么工具呢？是的，当然有，而且不止一个。接下来，我将介绍一些当今黑客最常用的网站扫描工具。

　　迪尔巴斯特

　　DirBuster 是由 OWASP（Open Web Application Security Project - Open Web Application Security Project）开发的专门用于检测 Web 服务器的目录和隐藏文件。

　　由于它是用Java编写的，因此必须在计算机上安装JDK才能运行。

　　输入网站地址，做一些简单的配置，开始扫描。支持基于字典的扫描和暴力枚举。

　　御剑

　　听名字，御剑是我们中国人写的。它来自 Daniel Yujian Lonely。它还支持字典枚举。与DirBuster相比，御剑更加简洁轻巧，操作起来非常得心应手。

　　万维网扫描

　　wwwscan 是一个老式的后台扫描工具，界面比较简单，支持命令行和可视化界面两种模式：

　　在命令行模式下，支持参数：

　　-p：设置端口号

　　-m：设置最大线程数

　　-t：设置超时

　　-r：设置扫描的起始目录

　　-ssl：是否使用 SSL

　　使用命令示例：

　　除了使用这些工具外，Google Hacking 还经常用于执行后台扫描。例如，使用 inurl 语法进行搜索：

　　使用这些工具，您可以轻松找到 网站 后端地址。