Gobuster adalah alat untuk melakukan brute-force pada direktori dan file website, serta subdomain. Alat ini ditulis dalam bahasa Go sehingga sangat cepat dan efisien. Gobuster sangat populer untuk tahap enumerasi dalam penetration testing aplikasi web.
Gobuster adalah alat enumerasi yang sangat cepat dan efisien yang digunakan untuk melakukan brute-force pada direktori, file, dan subdomain website. Dikembangkan dengan bahasa pemrograman Go oleh OJ Reeves, Gobuster telah menjadi pilihan utama para profesional keamanan siber untuk tahap enumerasi dalam penetration testing. Kecepatan Gobuster jauh melampaui alat-alat sejenis yang ditulis dalam bahasa scripting seperti Python atau Ruby karena Go dikompilasi menjadi binary native. Gobuster bekerja dengan mengambil wordlist yang berisi daftar nama direktori, file, atau subdomain, kemudian mengirimkan permintaan HTTP ke server target untuk setiap entri.
Jika server merespons dengan kode status tertentu seperti 200, 301, 302, atau 403, maka entri tersebut dianggap valid dan ditampilkan kepada pengguna. Proses ini dilakukan dengan sangat cepat berkat arsitektur concurrent yang didukung oleh Go. Gobuster mendukung tiga mode utama: mode direktori atau file yang disebut dir, mode subdomain yang disebut dns, dan mode vhost yang disebut vhost. Setiap mode memiliki kegunaan yang spesifik dalam proses pengujian keamanan web.
Gobuster juga mendukung berbagai opsi seperti pengaturan thread, timeout, penggunaan proxy, dan autentikasi dasar. Alat ini sangat ideal untuk menemukan halaman tersembunyi, endpoint API, file backup, subdomain yang tidak tercantum dalam DNS publik, dan virtual host pada server shared hosting. Dengan kecepatan dan fleksibilitasnya, Gobuster menjadi alat yang sangat berharga dalam arsenal setiap penetration tester.
Gobuster sangat ideal digunakan ketika Anda perlu melakukan enumerasi direktori dan file pada aplikasi web untuk menemukan halaman tersembunyi, endpoint API, atau file backup yang tidak seharusnya diakses publik. Alat ini sangat berguna dalam tahap awal penetration testing untuk memetakan struktur aplikasi web dan menemukan potensi titik masuk. Gobuster juga sangat efektif digunakan untuk enumerasi subdomain dengan mode DNS untuk menemukan subdomain yang mungkin disembunyikan.
Gobuster sangat berguna untuk menemukan virtual host atau vhost pada server yang menggunakan hosting bersama. Mode Vhost memungkinkan Anda untuk mengidentifikasi website lain yang dihosting pada server yang sama yang mungkin memiliki kerentanan berbeda. Informasi ini sangat berharga dalam penetration testing dan bug bounty hunting untuk menemukan permukaan serangan yang lebih luas.
Gobuster dapat diinstal dengan mudah melalui berbagai metode. Cara termudah adalah dengan mengunduh binary pre-compiled dari halaman rilis GitHub. Karena Go adalah bahasa yang dikompilasi, Gobuster tidak memerlukan runtime atau dependensi tambahan untuk dijalankan. Binary Gobuster tersedia untuk Linux, Windows, dan macOS. Anda juga dapat menginstal Gobuster menggunakan package manager seperti apt di Linux atau Homebrew di macOS.
sudo apt update
sudo apt install gobuster
gobuster --versionGobuster memiliki tiga mode utama yang masing-masing memiliki parameter spesifik. Mode dir digunakan untuk enumerasi direktori dan file, mode dns untuk enumerasi subdomain, dan mode vhost untuk enumerasi virtual host. Pemilihan wordlist yang tepat sangat penting untuk keberhasilan enumerasi.
# Mode direktori/file
gobuster dir -u http://target.com -w wordlist.txt
# Mode direktori dengan ekstensi
gobuster dir -u http://target.com -w wordlist.txt -x php,txt,html
# Mode subdomain
gobuster dns -d target.com -w subdomains.txt
# Mode vhost
gobuster vhost -u http://target.com -w vhosts.txtPilih wordlist yang tepat untuk target Anda. Atur jumlah thread dengan bijak mulai dari 20-50 thread. Gunakan opsi --wildcard untuk mendeteksi respons wildcard DNS. Perhatikan kode status HTTP yang dikembalikan untuk memahami situasi sebenarnya. Simpan hasil enumerasi dalam format terstruktur untuk analisis lebih lanjut dan dokumentasi pengujian.