DIRB est un outil open source utilisé pour scanner un site web à la recherche de répertoires et fichiers cachés. Il fonctionne par brute force en envoyant des requêtes HTTP basées sur des listes de mots (wordlists).

• Pentesting (phase de reconnaissance)
• Audit de sécurité web
• Découverte de pages d’administration ou fichiers sensibles

Sous Linux (Debian/Ubuntu) :

sudo apt-get install dirb

Sous Kali Linux, il est généralement préinstallé.

dirb <URL> [wordlist] [options]

• URL : site cible (ex. http://example.com)
• wordlist : fichier contenant les mots à tester (ex. /usr/share/dirb/wordlists/common.txt)
• options : paramètres supplémentaires (proxy, authentification, etc.)

• Scan avec la wordlist par défaut :

dirb http://example.com

• Scan avec une wordlist spécifique :

dirb http://example.com /usr/share/dirb/wordlists/big.txt

• Utiliser un proxy :

dirb http://example.com /usr/share/dirb/wordlists/common.txt -p http://127.0.0.1:8080

• Authentification HTTP :

dirb http://example.com /usr/share/dirb/wordlists/common.txt -u admin:password

• Par défaut : /usr/share/dirb/wordlists/common.txt
• Autres sources :
  • https://github.com/danielmiessler/SecLists
  • OWASP DirBuster lists

• Limiter la charge : éviter de saturer le serveur (utiliser des délais si nécessaire).
• Filtrer les codes : ignorer les 404 pour réduire le bruit.
• Utiliser HTTPS : si le site est sécurisé.
• Compléter avec d’autres outils : Gobuster (plus rapide, multi-thread), WFuzz (plus flexible).