Web资产摸不清,安全评估全白搭。钻研Rust安全工具的永恒之锋帮会,之前用Rust引擎做的图标化指纹端口扫描工具(点击此访问往期文章),都更新到32版了,口碑一直在线。
这次新出的Web路径扫描器ES::Dirscan,更是把“快、准、好用”三个字焊死——扫得比老工具快,结果精准不掺水,还能省掉大量手动筛选的功夫,对安全人来说相当省心。
市面上的大多同类工具需要通过筛选长度、状态码来分析大量的扫描结果,不仅慢,而且结果很乱。而ES::Dirscan没有这种烦恼,它不是简单过滤404、403、302,也不是简单匹配200,而是基于Rust的强大智能算法实现过滤,能直接筛选有价值的结果。同时,工具内设有默认字典,当然也可以手动增加指定的字典。
可以先看视频来直观地感受 ↓
Rust引擎
速度稳度双在线
核心用Rust语言开发,这个技术选型直接拉满了性能和稳定性。面对几千个子页面的大型电商网站或企业官网,它的扫描速度比传统工具快40%以上,不用再等大半天。更靠谱的是稳定性——连续72小时高负载扫描都不会崩,之前用老工具扫到一半闪退的糟心事儿,基本不会发生。
最香的是智能降噪功能。扫出来的无效信息太多,是行业里一直头疼的问题,而智能降噪功能让你扫完不用对着一堆无效数据头疼,它会自动过滤404、400这类没用的结果,只保留成功访问、禁止访问、重定向、服务器错误这些高价值信息,手动筛数据的时间直接省了80%,能把精力集中在风险分析上。
资产一眼看清
路径+框架一键摸清
资产模块
扫描结果做成了树状结构,就像电脑里的文件管理器,网站的目录层级一目了然。你点一下就能展开或收起各级目录,比如从根目录快速定位到“/admin”“/api”这类关键路径,找资产的效率比翻列表高太多。
更实用的是深度指纹识别能力——它不光能找到藏得深的路径,还能精准识别这些路径用的技术框架。比如扫到“/admin/”目录,会直接标注是基于WordPress 6.2构建的;碰到“/api/v2/”接口,能确定是Spring Boot 2.7.3开发的。这一下就把传统工具“只找路径”的活儿,升级成了“画攻击面”,后面测漏洞该往哪个方向使劲,瞬间就明确了。
WAF识别与隐蔽扫描
WAF模块
扫之前它会自动检测目标网站有没有装WAF,连阿里云、腾讯云、Cloudflare这些主流防护厂商都能精准识别,准确率高达92%。知道对方的防护情况后,你就能灵活调整扫描频率和请求头参数,再也不用怕IP因为频繁访问被封,扫到一半被迫中断。
要是做红队行动这类需要隐蔽性的工作,它的代理功能也很顶。HTTP和Socks5代理都支持,连需要账号密码认证的代理服务器都能无缝衔接。所有扫描流量都通过代理转发,自己的真实IP藏得严严实实,完全不用担心暴露踪迹。
不用改你的现有工作流
输入方式特别灵活,直接输单个URL、从文件里读批量目标列表,甚至接收子域名扫描器传过来的数据流都能接。不管你之前的自动化侦察流程是怎么搭的,它都能无缝嵌进去,不用重新学一套操作。
输出格式也给你考虑得明明白白:想快速看结果就用文本格式;要统计分析就导Excel,按状态码、目录深度筛选都方便;要给领导做汇报,HTML格式能生成带图表的可视化报告;要对接漏洞管理系统,JSON格式直接能用,完全不用额外转码。
安全团队:定期盘资产时,用它能快速揪出未备案域名、冗余路径这些藏得深的隐患,轻松形成完整的资产安全台账;
渗透测试:授权测试时,能快速定位后台登录页、数据库配置文件这些敏感资源,直接缩短测试周期;
红队行动:靠隐蔽扫描能力,不触发对方防护告警就能收集完信息,为后续渗透打稳基础;
开发人员:上线前扫一遍,提前找出未授权访问的接口或冗余路径,从源头堵住安全漏洞。
不用花时间适应新操作,不用在无效数据里浪费精力,帮你省出更多时间做真正核心的风险评估——这才是安全工具该有的样子
限时只需
138 元 / 永久使用
价格是限时的哦
后续随着更多功能的增加
价格将随之上涨
购买后可获以下服务:
1. 工具永久使用;
2. 免费获得后续所有迭代升级版本;
3. 售后服务 + 持续更新 + 优先支持;
4. 工具均是一机一码,可获多台自用电脑的激活码。
由于安卓支持小程序购买,苹果暂不支持
因此下面将区分两者的购买渠道
安卓用户购买方式
苹果/安卓用户购买方式
◀ FreeBuf知识大陆APP ▶
苹果用户至App Store下载
安卓用户各大应用商城均可下载
如有问题请联系vivi微信:Erfubreef121