Как найти скрытые файлы на сайте

Обновлено: 09.01.2025

Сейчас почти на всех сайтах используется JavaScript.
При помощи скрипта можно подгружать и генерировать различный контент, который в "оригинальном" исходном коде (его можно увидеть в блокноте после сохранения страницы, или по Ctrl + U в браузере) отсутствует.
Можно преобразовать страницу полностью, поменять отдельные фрагменты при загрузке страницы, в зависимости от браузера, или от любого действия пользователя.
Технология, которая позволяет подгружать "внешний" контент с сервера, называется AJAX.

Именно поэтому существуют средства для разработчика. Например, FireBug для Firefox и встроенные инструменты в Chrome, Opera (Ctrl + Shift + i) и Internet Explorer (F12).
Но никакой "скрытой" части нет. Что в браузере - то и на странице. В средствах разработчика вы видите именно то, что на странице сейчас (результат работы скриптов, если они использовались) . То, что вы видите на странице и в инструментах для разработки, может отличаться от исходного кода.

При сохранении страницы на компьютер могут не загрузиться некоторые подключенные файлы (картинки, а также скрипты и стили, которые вызываются другими скриптами) . И точно не сохраняются данные, которые подгружаются в результате действий пользователя.

да есть правая кнопка мышки смотреть иходный код страницы или в хроме кнопка ф12 но все равно вы увидите то к чему имеете доступ да нет же скрытой части, все открыто. нет смысла скрывать HTML, он предназначен для того, чтобы ваш браузер его читал и понимал.
Ctrl+U - и смотрите на здоровье. Если сохранить исходный код в блокноте получается страница которая сильно отличается от оригинала , а это значит что вы скопировали не весь код , а что-то осталось за бортом иначе получился бы оригинал . Олег Мифтахов Искусственный Интеллект (179704) вы сейчас шутите или серьезно? ну, сохраните веб-страницу целиком средствами браузера, потом посмотрите содержимое )) на сайте виндовс, есть выбор - винда 32, и 64, или какие там, а открыв исходный код, версий винды становится больше там и версия по времени, и по размеру и тд. Как вы выразились скрытым может быть не html. Вашему взору может не доступен php, но его вы не как не увидите, поскольку он располагается на сервере и обрабатывается им же.

HTML не может быть скрыт.

Чтобы просмотреть сайт "целиком" в сохранённом виде, к HTML-документу еще необходимо приложить CSS-файлы (стили) и JS-файлы (скрипты) . Но это всё опционально. Все эти файлы имеются в открытом доступе. Просто надо понимать, как их "привязывать" к хтмл-страничке.

На фото располагается 3 файла стилей и 2 файла скриптов.
Их необходимо сохранить вместе с HTML-кодом (файл с расширением .html) в одну директорию. И вместо исходных путей оставить только само название файла. Например href="style.css"

Я совсем не специалист, но надеюсь, что здесь мне смогут помочь. Прошу прощения, если вопрос "мимо".

Как можно посмотреть все, в том числе и скрытые ссылки на чужом вебсайте и конкретно на одной странице? Есть полученный случайно доступ к некоторым ссылкам со спрятанным контентом, который не отображается ни на странице сайта, ни в поиске по сайту, ни в гугл поиске по содержимому сайту, но прямой доступ по ссылке нет, а в каталоге, в котором эта ссылка должна быть, ее не видно. Хотелось бы посмотреть все скрытые ссылки, но не получается, все сервисы выдают только открытый контент.

Простой 1 комментарий

Смотря как и чем " спрятанный"
для ламеров, юзеров и прочих начинающих халявщиков есть несколько (по степени трудоёмкости) вариантов

1 - синтаксис/операторы запроса в поисковой системе
в поисковой строке набрать по следующему шаблону " [содержимое][пробел]site:[адрес домена/сайта]
*пример поиска слова "скидка" по сайту(корневому домену) site.ru - "скидка site:site.ru" данный синтаксис просканирует доступные страницы для просмотра и покажет все страницы в которых присутствует слово "скидка"
*пример поиска файлов с любым названием но только с расширением pdf - ".pdf site:site.ru" как вариант *.pdf всё зависит от конкретной поисковой системы. Как следствие можно играться - "название." Соответственно будет искать файл с любым расширением но с названием название. так же есть синтаксис который позволяет искать как в названии так и в расширении файла часть этого названия/расширения.

2 - Специализированные программы закачки сайта полностью
так как я понятия не имею о вашей платформе искать вам нужно такими запросами - "site download", "site sucker" site как вариант заменить web

3 - Ну и как тут уже писали ранее, зайти в исходный код страницы, что зависит как от платформы/ОС так и от конкретного браузера.

В принципе если файл вообще существует а не редирект этого файла на каком то ресурсе, файл достать всегда можно. Однако на всякую хитрожо..ую хитрость найдутся методы защиты. Делайте собственный уникальный контент, ибо за кражу, плагиат и копипаст, по рукам будут давать всё чаще и чаще, и просто жалобой уже не отделаетесь.

RTFM. кибер сопляки. RTFM
Халява переоценённый и насквозь утопичный фактор. Так или иначе платить придётся.

Среди них могут быть входы в админку, резервные копии, phpMyAdmin и другие страницы, не предназначенные для всеобщего доступа.

Всем салют, дорогие друзья!
На связи Golden - глава Hacker Place

Сегодня я хочу рассказать вам о простом способе поиска скрытых файлов и папок на любых сайтах. Найти мы можем кучу всего интересного: входы в админку, резервные копии, phpMyAdmin и другие страницы, не предназначенные для всеобщего доступа.

Звучит неплохо, правда? Давайте начинать!

Все дальнейшие действия я буду выполнять в Kali Linux

Установка lulzbuster в Kali Linux

Открываем терминал и вводим следующие команды:

sudo apt install libcurl4 libcurl4-openssl-dev

sudo make install

Как запустить поиск скрытых файлов в lulzbuster

У программы только одна обязательная опция -s после которой нужно указать целевой сайт:

Причём сайт нужно указывать с протоколом, например:

Программа начнёт с вывода своих настроек — многие значения установлены по умолчанию, но их можно изменить опциями:

Затем программа начнёт выводить данные со следующими столбцами:

По умолчанию используется словарь среднего размера, а всего с программой поставляется три словаря:

В Kali Linux эти словари размещены в следующих файлах:

/usr/local/share/lulzbuster/lists/big.txt /usr/local/share/lulzbuster/lists/medium.txt /usr/local/share/lulzbuster/lists/small.txt

Для выбора любого из этих словарей, либо своего собственного, используйте опцию -w, например:

Как исключить ответы с определёнными кодами статуса

Как сохранить результаты lulzbuster в файл

По умолчанию lulzbuster выводит информацию в стандартный вывод ошибок (stderr). Вы можете указать файл для сохранения результатов опцией -l:

Обратите внимание, что лучше указывать абсолютный путь до файла, т. к. в противном случае файл будет сохранён относительно рабочей директории lulzbuster.

Как добавить расширение для сканируемых файлов

С помощью опции -A <СТРОКА> можно добавить любые слова, разделённые запятой (например, /,.php,

Как сканировать с lulzbuster через Tor

Если это ещё не сделано, установите и запустите службу Tor:

sudo apt install tor

sudo systemctl start tor

Теперь к вашей команде lulzbuster добавьте опцию -p socks5://localhost:9050 , например:

Помните, что некоторые сайты вовсе не принимают подключения с IP адресов сети Tor.

Как сканировать с lulzbuster через прокси

Поддерживается несколько видов прокси, чтобы увидеть доступные варианты выполните команду:

[+] available proxy schemes

Для прокси используйте следующие опции:

-p <адрес> - адрес прокси (формат: <схема>://<хост>:<порт>)

-P <creds> - учётные данные проверки подлинности на прокси (формат: <пользователь>:<пароль>)

Как сканировать в lulzbuster если недействительный сертификат

Бывает, что сертификат просрочен, либо сканируется IP адрес, в этом случае веб-браузеры показывают предупреждение, а lulzbuster останавливает сканирование с ошибкой:

[-] could not connect to:

Чтобы выполнить сканирование даже несмотря на неверный сертификат, используйте опцию -i:

Умный режим lulzbuster

Умный режим, который заключается в пропуске ложных срабатываний, показывает больше информации и т. д., включается опцией -S:

Используйте умный режим только если скорость не является вашим важным приоритетом!

Изменение User Agent в lulzbuster

В lulzbuster уже встроен большой список пользовательских агентов, чтобы вывести их список выполните команду:

Вы можете указать любое значение User Agent с помощью опции -u <СТРОКА>. Также вы можете использовать случайные User Agent из встроенных, для этого укажите опцию -U.

-c <строка> - передать указанный заголовок или несколько заголовков (например, 'Cookie: foo=bar; lol=lulz')

Скорость сканирования и таймаут lulzbuster

С помощью опции -t <ЧИСЛО> можно указать количество потоков, которыми будет выполняться сканирование.

Также доступны следующие опции таймаута:

-D <число> - количество секунд для задержки между запросами (по умолчанию: 0)

-C <число> - количество секунд для таймаута соединения (по умолчанию: 10)

-R <число> - количество секунд для таймаута запроса (по умолчанию: 30)

-T <число> - количество секунд перед признанием поражения и полного выхода из lulzbuster (по умолчанию: нет)

Сканирование методами POST, HEAD, PUT, DELETE и другими

Чтобы вывести список всех доступных методов выполните команду:

Заключение

Итак, lulzbuster это ещё один замечательный инструмент, который поможет при взломе сайтов. Все это дело очень хорошо монетизируется. Например, я и моя команда заработали миллионы рублей на сливе баз данных сайтов, а значит это сможете и вы, главное не забывать прокачивать свой скилл и помнить о безопасности. А мы вам в этом поможем.

В теме участвуют: Костя (7) Тимофей (4) Putnik (3) Andrew (2) Как найти на веб сайте не выведеную через навигацию файл или директорию? Говорят что можно как-то это сделать через поисковики, но не все и со специальным синтаксом запроса.

Поисковик лишь имитирует браузер, поэтому скрытое он не найдет, если ты сам ему не дашь ссылку. В корневой папке можно разместить файл robots.txt, в котором укажешь, что можно/нужно сканировать, а что нельзя.

Если я правильно понял с дополнением Тимофея, то Вам нужен инструмент для нахождения или блокирования файлов в директории веб сайта.

Проще сделать самому файл robots.txt написав в нём следующее:

Далее после слова Disallow (Отвергнуть) поставить свою любую директорию или отдельный файл. Естественно, что robots.txt помещается в root директорию.

Наличие robots.txt позволяет и простому хакеру узнать, есть ли у вас скрытые папки :-))))

Тимофей, я может далёк сейчас от нововведений современной молодёжи, но мне невдомёк зачем иметь скрытые папки в основной дирректории. Что там держать? Скрытую информацию? Так для этого существует база данных. А эта базза данных находится не в публичной директории, а в дебрях сервера. И для грамотного хакера не составит труда и интересней залезть туда, а не то, чтобы зариться на какие-то скрытые никому не нужные файлы.

В данном случае robots.txt очень хорошо служит для того, чтобы поисковая система не индексировала временные файлы. Например, на сайте есть инструмент, который даёт результат по поиску какой-то информации. Этот инструмент делает файл с этой информацией, показывает его и сохраняет в cache директории для возможного следующего поиска. Я настроил сервер так, что после определённого промежутка времени файлы в cache директории с 5-7 дневным сроком удаляются. Вот именно для этого и существует robots.txt чтобы те временные файлы не трогать.

А хакеру информация в файле robots.txt ничего нового не скажет. Он и так знает, где искать.

Спасибо всем кто ответил.

А это батенька для того что не всякий сервер, тем более халявный предоставляет такую роскошь как базы данных и cgi bin директории для прогона скриптов и аунтефикации по кукам и ip. В таком случае используется Джава-Скрипт который и выводит вас на нужный файл. Это конечно просто, но лучше чем ничего.

Я также рад, что Вы нашли оптимальный вариант для своего проекта. Но следуя опасению Тимофея на Ваш Джава-Скрипт также найдётся простой пользователь, который просто и без труда откроет webpage Source и увидит те же директории и файлы.

А по поводу халявных серверов, так я Вам из опыта "батеньки" скажу, что лучше заплатить копейки, чем потом терять весь свой труд. На халявном сервере Вам к любому файлу прикрепять pop-up скрипт с их рекламой и такие сервера очень ранимы на всякие вирусные атаки.

Вот к примеру Юрий Шепетов из Харькова поместил на своём (халявном) сайте http://message-eagle.narod.ru проповеди понравившемся ему проповедника. Я ничего против не имею. Но я посмотрел тот сайт с компьютера на своей работе, где установленна блокировка против всяких предполагаемы вирусов и "неправильных скриптов", которые могут нарушить работу компьютера. Так тот "блокировщик" дал мне предупреждение, что в правом файле фрейма находится скрипт, который зарядит ко мне вирус и показал картинку ввиде здорового таракана. Вот Вам и халявный сервер. Замечу, что обыкновенный Anti-Virus программа типа Нортон или др. этого не показывают. Наверняка все те ЗИП файлы на том сайте имеют тот же вирус. А сколько файлов мне пришлось переписывать и сколько раз мне приходилось сутками ремонтировать свой компьютер в начале моей компьютерной практике, то это известно только моим домашним. И это всё от того, что хотелось всё на халяву.

Прислушайтесь к совету бывалых и используйте в своей практике знаменитую пословицу "Не на столько богат, чтобы покупать дешёвые и преобретать "халявные" вещи".

***И как Ваш ответ поможет найти скрытый файл? ***

Правильно замечено., что вопрос то стоял так: "Как найти на веб сайте не выведеную через навигацию файл или директорию?"

Извините, но пособие для хакера у маня на столе в личном пользовании, но не для публики.

Нужно понимать где что спрашивать. Если Вы усмотрели офтоп в этой теме, то удалять нужно ВСЮ ТЕМУ (. ) т.к. она по своей специфике никак не подходит под христианскую тему.

Если мошенники просканируют ваш сайт и найдут загруженные файлы, они могут загрузить на ваш сайт вредоносный код. Если на вашем сайте есть скрытые файлы, о которых вы не знаете, вы можете стать легкой добычей киберпреступников. Они могут получить доступ к конфиденциальной информации и использовать ее в незаконных целях.

По этой причине очень важно знать, как найти скрытые файлы на веб-сайтах и в каталогах.

В этой статье мы объясним, как просмотреть список каталогов веб-сайтов с помощью сканера каталогов веб-сайтов. Это простой и бесплатный способ получить полный список скрытых каталогов, которые могут стать уязвимостью для вашего сайта.

Что такое сканер каталогов веб-сайтов?

Как найти скрытые страницы и файлы на сайте?

Что такое каталог веб-сайта? Это основная папка, в которой хранятся все каталоги и файлы сайта. Именно в эту папку загружается архив с файлами сайта и базой данных. Если вы поместите файлы сайта не в ту папку, вместо сайта будет отображаться ошибка 403.

Это помогает профессионально сканировать каталог веб-сайтов. Особенно, когда вы запускаете ориентированные на безопасность тесты и просматриваете каталог веб-сайта, он закрывает некоторые дыры, не закрываемые классическими сканерами веб-уязвимостей. Он ищет определенные веб-объекты, но не ищет уязвимости и не ищет веб-контент, который может быть уязвимым.

Что могут быть «скрытые файлы»?

В общем, эти каталоги могут быть следующими:

Файлы конфигурации проекта, которые создает IDE (интегрированная среда разработки).
Конкретные файлы конфигурации и конфигурации для данного проекта или технологии.

Различные типы сканеров каталогов веб-сайтов

Как просмотреть каталог сайта? Сканеры работают по разным принципам. Есть инструменты для сканирования вашего сайта (и это авторизованные инструменты), но есть также хакерские инструменты. С этической точки зрения вы не можете сканировать каталоги других сайтов. Юридически это считается взломом и мошенничеством.

Давайте посмотрим, по какому принципу будут работать различные типы сканеров каталогов.

Словарный поиск файлов на веб-сайте.
Сканирование чистым сканером.
Сканирование с помощью веб-сканера.
Сканирование с использованием библиотеки запросов Python.

Как видите, существует несколько способов сканирования и поиска скрытых файлов на вашем сайте. Вы можете выбрать наиболее удобный для себя или воспользоваться нашим простым инструментом «Сканер каталогов веб-сайтов». С помощью нашего бесплатного сканера вы легко просмотрите каталог веб-сайта и найдете все скрытые файлы, которые могут стать вашей уязвимостью.

Руководство по эффективному использованию нашего сканера каталогов

Если вы хотите найти скрытые URL страниц на веб-сайте и знаете, как просмотреть список каталогов веб-сайтов, используйте наш инструмент сканирования каталогов веб-сайтов.

Так просто выглядит процесс поиска в каталоге сайта.

Особенности нашего сканера каталогов веб-сайтов

Что ж, давайте кратко рассмотрим основные функции нашего сканера каталогов веб-сайтов.

Как только сканирование остановится, вы увидите оценку своего сайта, количество отсканированных страниц и количество страниц в индексе Google. Например, мы просканировали наш сайт sitechecker.pro. Вы можете увидеть результаты сканирования на скриншоте ниже.

Прокрутив страницу ниже, вы увидите проблемы на уровне сайта. Если на вашем веб-сайте есть скрытые файлы, которые наш инструмент может сканировать, вы также увидите их в этом списке.

Следующей особенностью нашего инструмента является то, что вы можете просматривать ошибки, разделенные на три категории. Это критические ошибки, которые говорят о важности их исправления как можно скорее.

Читайте также: