Как найти скрытые файлы на сайте

Обновлено: 06.07.2024

Сейчас почти на всех сайтах используется JavaScript.
При помощи скрипта можно подгружать и генерировать различный контент, который в "оригинальном" исходном коде (его можно увидеть в блокноте после сохранения страницы, или по Ctrl + U в браузере) отсутствует.
Можно преобразовать страницу полностью, поменять отдельные фрагменты при загрузке страницы, в зависимости от браузера, или от любого действия пользователя.
Технология, которая позволяет подгружать "внешний" контент с сервера, называется AJAX.

Именно поэтому существуют средства для разработчика. Например, FireBug для Firefox и встроенные инструменты в Chrome, Opera (Ctrl + Shift + i) и Internet Explorer (F12).
Но никакой "скрытой" части нет. Что в браузере - то и на странице. В средствах разработчика вы видите именно то, что на странице сейчас (результат работы скриптов, если они использовались) . То, что вы видите на странице и в инструментах для разработки, может отличаться от исходного кода.

При сохранении страницы на компьютер могут не загрузиться некоторые подключенные файлы (картинки, а также скрипты и стили, которые вызываются другими скриптами) . И точно не сохраняются данные, которые подгружаются в результате действий пользователя.

да есть правая кнопка мышки смотреть иходный код страницы или в хроме кнопка ф12 но все равно вы увидите то к чему имеете доступ да нет же скрытой части, все открыто. нет смысла скрывать HTML, он предназначен для того, чтобы ваш браузер его читал и понимал.
Ctrl+U - и смотрите на здоровье. Если сохранить исходный код в блокноте получается страница которая сильно отличается от оригинала , а это значит что вы скопировали не весь код , а что-то осталось за бортом иначе получился бы оригинал . Олег Мифтахов Искусственный Интеллект (179704) вы сейчас шутите или серьезно? ну, сохраните веб-страницу целиком средствами браузера, потом посмотрите содержимое )) на сайте виндовс, есть выбор - винда 32, и 64, или какие там, а открыв исходный код, версий винды становится больше там и версия по времени, и по размеру и тд. Как вы выразились скрытым может быть не html. Вашему взору может не доступен php, но его вы не как не увидите, поскольку он располагается на сервере и обрабатывается им же.

HTML не может быть скрыт.


Чтобы просмотреть сайт "целиком" в сохранённом виде, к HTML-документу еще необходимо приложить CSS-файлы (стили) и JS-файлы (скрипты) . Но это всё опционально. Все эти файлы имеются в открытом доступе. Просто надо понимать, как их "привязывать" к хтмл-страничке.

На фото располагается 3 файла стилей и 2 файла скриптов.
Их необходимо сохранить вместе с HTML-кодом (файл с расширением .html) в одну директорию. И вместо исходных путей оставить только само название файла. Например href="style.css"

Я совсем не специалист, но надеюсь, что здесь мне смогут помочь. Прошу прощения, если вопрос "мимо".

Как можно посмотреть все, в том числе и скрытые ссылки на чужом вебсайте и конкретно на одной странице? Есть полученный случайно доступ к некоторым ссылкам со спрятанным контентом, который не отображается ни на странице сайта, ни в поиске по сайту, ни в гугл поиске по содержимому сайту, но прямой доступ по ссылке нет, а в каталоге, в котором эта ссылка должна быть, ее не видно. Хотелось бы посмотреть все скрытые ссылки, но не получается, все сервисы выдают только открытый контент.

Простой 1 комментарий

hitasu

Смотря как и чем " спрятанный"
для ламеров, юзеров и прочих начинающих халявщиков есть несколько (по степени трудоёмкости) вариантов

1 - синтаксис/операторы запроса в поисковой системе
в поисковой строке набрать по следующему шаблону " [содержимое][пробел]site:[адрес домена/сайта]
*пример поиска слова "скидка" по сайту(корневому домену) site.ru - "скидка site:site.ru" данный синтаксис просканирует доступные страницы для просмотра и покажет все страницы в которых присутствует слово "скидка"
*пример поиска файлов с любым названием но только с расширением pdf - ".pdf site:site.ru" как вариант *.pdf всё зависит от конкретной поисковой системы. Как следствие можно играться - "название." Соответственно будет искать файл с любым расширением но с названием название. так же есть синтаксис который позволяет искать как в названии так и в расширении файла часть этого названия/расширения.

2 - Специализированные программы закачки сайта полностью
так как я понятия не имею о вашей платформе искать вам нужно такими запросами - "site download", "site sucker" site как вариант заменить web

3 - Ну и как тут уже писали ранее, зайти в исходный код страницы, что зависит как от платформы/ОС так и от конкретного браузера.

В принципе если файл вообще существует а не редирект этого файла на каком то ресурсе, файл достать всегда можно. Однако на всякую хитрожо..ую хитрость найдутся методы защиты. Делайте собственный уникальный контент, ибо за кражу, плагиат и копипаст, по рукам будут давать всё чаще и чаще, и просто жалобой уже не отделаетесь.

RTFM. кибер сопляки. RTFM
Халява переоценённый и насквозь утопичный фактор. Так или иначе платить придётся.

Среди них могут быть входы в админку, резервные копии, phpMyAdmin и другие страницы, не предназначенные для всеобщего доступа.

Всем салют, дорогие друзья!
На связи Golden - глава Hacker Place

Сегодня я хочу рассказать вам о простом способе поиска скрытых файлов и папок на любых сайтах. Найти мы можем кучу всего интересного: входы в админку, резервные копии, phpMyAdmin и другие страницы, не предназначенные для всеобщего доступа.

Звучит неплохо, правда? Давайте начинать!

Все дальнейшие действия я буду выполнять в Kali Linux

Установка lulzbuster в Kali Linux

    Открываем терминал и вводим следующие команды:

sudo apt install libcurl4 libcurl4-openssl-dev

sudo make install

Как запустить поиск скрытых файлов в lulzbuster

    У программы только одна обязательная опция -s после которой нужно указать целевой сайт:
    Причём сайт нужно указывать с протоколом, например:
    Программа начнёт с вывода своих настроек — многие значения установлены по умолчанию, но их можно изменить опциями:

Затем программа начнёт выводить данные со следующими столбцами:

По умолчанию используется словарь среднего размера, а всего с программой поставляется три словаря:

В Kali Linux эти словари размещены в следующих файлах:

    /usr/local/share/lulzbuster/lists/big.txt /usr/local/share/lulzbuster/lists/medium.txt /usr/local/share/lulzbuster/lists/small.txt
    Для выбора любого из этих словарей, либо своего собственного, используйте опцию -w, например:

Как исключить ответы с определёнными кодами статуса

Как сохранить результаты lulzbuster в файл

По умолчанию lulzbuster выводит информацию в стандартный вывод ошибок (stderr). Вы можете указать файл для сохранения результатов опцией -l:

Обратите внимание, что лучше указывать абсолютный путь до файла, т. к. в противном случае файл будет сохранён относительно рабочей директории lulzbuster.

Как добавить расширение для сканируемых файлов

С помощью опции -A <СТРОКА> можно добавить любые слова, разделённые запятой (например, /,.php,

Как сканировать с lulzbuster через Tor

    Если это ещё не сделано, установите и запустите службу Tor:

sudo apt install tor

sudo systemctl start tor

    Теперь к вашей команде lulzbuster добавьте опцию -p socks5://localhost:9050 , например:
Помните, что некоторые сайты вовсе не принимают подключения с IP адресов сети Tor.

Как сканировать с lulzbuster через прокси

    Поддерживается несколько видов прокси, чтобы увидеть доступные варианты выполните команду:

[+] available proxy schemes

    Для прокси используйте следующие опции:

-p <адрес> - адрес прокси (формат: <схема>://<хост>:<порт>)

-P <creds> - учётные данные проверки подлинности на прокси (формат: <пользователь>:<пароль>)

Как сканировать в lulzbuster если недействительный сертификат

Бывает, что сертификат просрочен, либо сканируется IP адрес, в этом случае веб-браузеры показывают предупреждение, а lulzbuster останавливает сканирование с ошибкой:

[-] could not connect to:

    Чтобы выполнить сканирование даже несмотря на неверный сертификат, используйте опцию -i:

Умный режим lulzbuster

Умный режим, который заключается в пропуске ложных срабатываний, показывает больше информации и т. д., включается опцией -S:

Используйте умный режим только если скорость не является вашим важным приоритетом!

Изменение User Agent в lulzbuster

    В lulzbuster уже встроен большой список пользовательских агентов, чтобы вывести их список выполните команду:
    Вы можете указать любое значение User Agent с помощью опции -u <СТРОКА>. Также вы можете использовать случайные User Agent из встроенных, для этого укажите опцию -U.

-c <строка> - передать указанный заголовок или несколько заголовков (например, 'Cookie: foo=bar; lol=lulz')

Скорость сканирования и таймаут lulzbuster

С помощью опции -t <ЧИСЛО> можно указать количество потоков, которыми будет выполняться сканирование.

    Также доступны следующие опции таймаута:

-D <число> - количество секунд для задержки между запросами (по умолчанию: 0)

-C <число> - количество секунд для таймаута соединения (по умолчанию: 10)

-R <число> - количество секунд для таймаута запроса (по умолчанию: 30)

-T <число> - количество секунд перед признанием поражения и полного выхода из lulzbuster (по умолчанию: нет)

Сканирование методами POST, HEAD, PUT, DELETE и другими

    Чтобы вывести список всех доступных методов выполните команду:

Заключение

Итак, lulzbuster это ещё один замечательный инструмент, который поможет при взломе сайтов. Все это дело очень хорошо монетизируется. Например, я и моя команда заработали миллионы рублей на сливе баз данных сайтов, а значит это сможете и вы, главное не забывать прокачивать свой скилл и помнить о безопасности. А мы вам в этом поможем.

В теме участвуют: Костя (7) Тимофей (4) Putnik (3) Andrew (2) Как найти на веб сайте не выведеную через навигацию файл или директорию? Говорят что можно как-то это сделать через поисковики, но не все и со специальным синтаксом запроса.

Поисковик лишь имитирует браузер, поэтому скрытое он не найдет, если ты сам ему не дашь ссылку. В корневой папке можно разместить файл robots.txt, в котором укажешь, что можно/нужно сканировать, а что нельзя.

Если я правильно понял с дополнением Тимофея, то Вам нужен инструмент для нахождения или блокирования файлов в директории веб сайта.

Проще сделать самому файл robots.txt написав в нём следующее:

Далее после слова Disallow (Отвергнуть) поставить свою любую директорию или отдельный файл. Естественно, что robots.txt помещается в root директорию.

Наличие robots.txt позволяет и простому хакеру узнать, есть ли у вас скрытые папки :-))))

Тимофей, я может далёк сейчас от нововведений современной молодёжи, но мне невдомёк зачем иметь скрытые папки в основной дирректории. Что там держать? Скрытую информацию? Так для этого существует база данных. А эта базза данных находится не в публичной директории, а в дебрях сервера. И для грамотного хакера не составит труда и интересней залезть туда, а не то, чтобы зариться на какие-то скрытые никому не нужные файлы.

В данном случае robots.txt очень хорошо служит для того, чтобы поисковая система не индексировала временные файлы. Например, на сайте есть инструмент, который даёт результат по поиску какой-то информации. Этот инструмент делает файл с этой информацией, показывает его и сохраняет в cache директории для возможного следующего поиска. Я настроил сервер так, что после определённого промежутка времени файлы в cache директории с 5-7 дневным сроком удаляются. Вот именно для этого и существует robots.txt чтобы те временные файлы не трогать.

А хакеру информация в файле robots.txt ничего нового не скажет. Он и так знает, где искать.

Спасибо всем кто ответил.

<!--Тимофей, я может далёк сейчас от нововведений современной молодёжи, но мне невдомёк зачем иметь скрытые папки в основной дирректории. Что там держать? Скрытую информацию? Так для этого существует база данных.-->

А это батенька для того что не всякий сервер, тем более халявный предоставляет такую роскошь как базы данных и cgi bin директории для прогона скриптов и аунтефикации по кукам и ip. В таком случае используется Джава-Скрипт который и выводит вас на нужный файл. Это конечно просто, но лучше чем ничего.

Я также рад, что Вы нашли оптимальный вариант для своего проекта. Но следуя опасению Тимофея на Ваш Джава-Скрипт также найдётся простой пользователь, который просто и без труда откроет webpage Source и увидит те же директории и файлы.

А по поводу халявных серверов, так я Вам из опыта "батеньки" скажу, что лучше заплатить копейки, чем потом терять весь свой труд. На халявном сервере Вам к любому файлу прикрепять pop-up скрипт с их рекламой и такие сервера очень ранимы на всякие вирусные атаки.

Вот к примеру Юрий Шепетов из Харькова поместил на своём (халявном) сайте http://message-eagle.narod.ru проповеди понравившемся ему проповедника. Я ничего против не имею. Но я посмотрел тот сайт с компьютера на своей работе, где установленна блокировка против всяких предполагаемы вирусов и "неправильных скриптов", которые могут нарушить работу компьютера. Так тот "блокировщик" дал мне предупреждение, что в правом файле фрейма находится скрипт, который зарядит ко мне вирус и показал картинку ввиде здорового таракана. Вот Вам и халявный сервер. Замечу, что обыкновенный Anti-Virus программа типа Нортон или др. этого не показывают. Наверняка все те ЗИП файлы на том сайте имеют тот же вирус. А сколько файлов мне пришлось переписывать и сколько раз мне приходилось сутками ремонтировать свой компьютер в начале моей компьютерной практике, то это известно только моим домашним. И это всё от того, что хотелось всё на халяву.

Прислушайтесь к совету бывалых и используйте в своей практике знаменитую пословицу "Не на столько богат, чтобы покупать дешёвые и преобретать "халявные" вещи".

***И как Ваш ответ поможет найти скрытый файл? ***

Правильно замечено., что вопрос то стоял так: "Как найти на веб сайте не выведеную через навигацию файл или директорию?"

Извините, но пособие для хакера у маня на столе в личном пользовании, но не для публики.

Нужно понимать где что спрашивать. Если Вы усмотрели офтоп в этой теме, то удалять нужно ВСЮ ТЕМУ (. ) т.к. она по своей специфике никак не подходит под христианскую тему.

Бесплатный сканер каталога сайтов: просмотр всех файлов и директорий

Если мошенники просканируют ваш сайт и найдут загруженные файлы, они могут загрузить на ваш сайт вредоносный код. Если на вашем сайте есть скрытые файлы, о которых вы не знаете, вы можете стать легкой добычей киберпреступников. Они могут получить доступ к конфиденциальной информации и использовать ее в незаконных целях.

По этой причине очень важно знать, как найти скрытые файлы на веб-сайтах и в каталогах.

В этой статье мы объясним, как просмотреть список каталогов веб-сайтов с помощью сканера каталогов веб-сайтов. Это простой и бесплатный способ получить полный список скрытых каталогов, которые могут стать уязвимостью для вашего сайта.

Что такое сканер каталогов веб-сайтов?

Как найти скрытые страницы и файлы на сайте?

Что такое каталог веб-сайта? Это основная папка, в которой хранятся все каталоги и файлы сайта. Именно в эту папку загружается архив с файлами сайта и базой данных. Если вы поместите файлы сайта не в ту папку, вместо сайта будет отображаться ошибка 403.

Это помогает профессионально сканировать каталог веб-сайтов. Особенно, когда вы запускаете ориентированные на безопасность тесты и просматриваете каталог веб-сайта, он закрывает некоторые дыры, не закрываемые классическими сканерами веб-уязвимостей. Он ищет определенные веб-объекты, но не ищет уязвимости и не ищет веб-контент, который может быть уязвимым.

Что могут быть «скрытые файлы»?

В общем, эти каталоги могут быть следующими:

  • Файлы конфигурации проекта, которые создает IDE (интегрированная среда разработки).
  • Конкретные файлы конфигурации и конфигурации для данного проекта или технологии.

Различные типы сканеров каталогов веб-сайтов

Как просмотреть каталог сайта? Сканеры работают по разным принципам. Есть инструменты для сканирования вашего сайта (и это авторизованные инструменты), но есть также хакерские инструменты. С этической точки зрения вы не можете сканировать каталоги других сайтов. Юридически это считается взломом и мошенничеством.

Давайте посмотрим, по какому принципу будут работать различные типы сканеров каталогов.

  • Словарный поиск файлов на веб-сайте.
  • Сканирование чистым сканером.
  • Сканирование с помощью веб-сканера.
  • Сканирование с использованием библиотеки запросов Python.

Как видите, существует несколько способов сканирования и поиска скрытых файлов на вашем сайте. Вы можете выбрать наиболее удобный для себя или воспользоваться нашим простым инструментом «Сканер каталогов веб-сайтов». С помощью нашего бесплатного сканера вы легко просмотрите каталог веб-сайта и найдете все скрытые файлы, которые могут стать вашей уязвимостью.

Руководство по эффективному использованию нашего сканера каталогов

Если вы хотите найти скрытые URL страниц на веб-сайте и знаете, как просмотреть список каталогов веб-сайтов, используйте наш инструмент сканирования каталогов веб-сайтов.

Так просто выглядит процесс поиска в каталоге сайта.

Особенности нашего сканера каталогов веб-сайтов

Что ж, давайте кратко рассмотрим основные функции нашего сканера каталогов веб-сайтов.

Как только сканирование остановится, вы увидите оценку своего сайта, количество отсканированных страниц и количество страниц в индексе Google. Например, мы просканировали наш сайт sitechecker.pro. Вы можете увидеть результаты сканирования на скриншоте ниже.

Website Directory Scanner Special Features


Прокрутив страницу ниже, вы увидите проблемы на уровне сайта. Если на вашем веб-сайте есть скрытые файлы, которые наш инструмент может сканировать, вы также увидите их в этом списке.

Website Directory Scanner Special Features 2


Следующей особенностью нашего инструмента является то, что вы можете просматривать ошибки, разделенные на три категории. Это критические ошибки, которые говорят о важности их исправления как можно скорее.

Читайте также: