文章总结： 本文介绍了在SRC活动中自动化查找目录遍历漏洞的方法，使用Burp插件OneScan和RouteVulScan，通过在每个目录后添加斜杠匹配Indexof模式来扫描漏洞。这种方法不会触发WAF，易于发现漏洞，作者还分享了将其应用于备份文件获取、未授权访问、SQL注入和SSRF的经验。建议安全测试人员利用此工具提升漏洞发现效率。 综合评分： 89 文章分类： SRC活动,渗透测试,WEB安全,漏洞分析,安全工具

SRC中自动化查找目录遍历获取赏金

小乳酸

网络安全之旅

2025年12月16日 11:32 江苏

burp插件 OneScan以及RouteVulScan****

规则在每个目录加/  匹配 Index of

在测试网站时，www.xxx.com/a/b/c  会自动扫描 www.xxx.com/a//,www.xxx.com/b//,www.xxx.com/c//**

不会触发waf，很好出洞。

之前也是目录遍历获取备份文件，后面审计未授权，sql注入，以及ssrf。

查看原文：《SRC中自动化查找目录遍历获取赏金》