DirBuster暴力猜解目录和文件名使用教程
DirBuster下载|WEB路径及网站管理后台猜解工具 0.12简介
DirBuster是OWASP组织的一个开发项目。是一款WEB路径及网页暴力破解工具，可对整个网站结构和目录进行暴力爬取，猜测网站管理后台路径等。
找出那些隐藏的文件和目录，在Web服务器上的Web应用程序渗透测试中所涉及的任何一项乏味的任务。DirBuster使得这项任务变得简单快捷，其易于使用的图形用户界面，以消除任何从他们的Web服务器上的敏感文件/目录，并把它一步，争取他们的服务器，即使Web服务器的业主可以很容易地使用这个工具。
IIS短文件/文件夹漏洞
短文件/文件夹名暴露漏洞，acunetix研究指出当Apache运行在windows下，如果创建了一个长文件，那么无需猜解长文件，直接用短文件就可以下载了。例如一个backup-082119f75623eb7abd7bf357698ff66c.sql的长文件，其短文件是BACKUP~1.SQL，攻击者只需要提交BACKUP~1.SQL就可以直接访问该文件。
另外，Soroush Dalilide研究中还提到可以绕过Basic and Windows认证，猜解认证目录下的文件。
2).Net Framework的拒绝服务攻击
Soroush Dalilide研究发现，当请求文件夹名称包含~1的请求，会导致不存在该文件的.Net framework去递归所有根目录。特别是第一次请求时，会造成的文件读取特别多。