很多网站都会禁止或有限防止扫描目录，这样的网站配置是相对较安全的，因为WEB攻击时代，目录扫描重中之重，但是，您的网站安全吗？[出自:jiwo.org]
为此，机窝特出品目录扫描神器，帮助您检查您自己的网站是否安全，是否容易被攻击。

使用步骤：
  一、关联工具中下载工具；

  二、配置TOR
    可在远程VPS或本地机器上配置，但本地配置TOR一般不好使用，因为被骨干网检测严重，建议VPS；
    １、假设VPS为debian/ubuntu系统，执行: apt-get install tor；
    ２、安装完毕后，cd /etc/tor，养成良好习惯，cp torrc torrc.0，然后 vi torrc:
      编辑tor配置文件，主要添加或修改以下配置：
      SocksPort 0.0.0.0:15050　　###监听ＩＰ／端口
      SocksPolicy accept 0.0.0.0/0  ####接受指定网段连接
      ControlPort 0.0.0.0:15051  ####控制端口
      HashedControlPassword 16:CDFB5543C039E006607705D94CE7D40D9BE81FB8E62AC4AC4A24712342  ####控制密码
    （注意控制密码由tor --hash-password 123456生成。）
      配置完成后，重启TOR服务。(/etc/init.d/tor restart或你的重启办法)

  三、配置本地代理
    １、本地需要安装socks代理工具，如proxychains，假设为本地为debian/ubuntu系统，执行apt-get install proxychains，然后编辑proxychains的配置文件；
      执行 cd /etc，然后cp proxychains.conf proxychains.conf.0，然后vi proxychains.conf，在最后一行加入:
      socks5  118.193.242.176 15050
      保存退出。

  四、使用机窝扫目录神器cwebpath
    执行 ./cwebpath.sh -u "http://yoursite.com" -d dir.txt -s 0 -y 1 -z 11.22.33.44:15051:123456
    11.22.33.44为你的运行ＴＯＲ的ＶＰＳ，15051为控制端口，123456为控制密码。
    注意默认此工具扫描时type=3, ext=.php，为测试目录和文件，文件以.php结尾，您可以自行修改。

cwebpath 6.3

---------------------------------------------------------------------------------
| Help: this tool can test if dir or file exist on dst. made by ecawen.jiwo.org. |
---------------------------------------------------------------------------------

Usage: cwebpath.sh  -u url  -d dic [-m mode] [-p pre] [-S https] [-s sleep]  [-t type]  [-e ext] [-i uri[-n]] [-k str] [-f range] [-j str[-r]] [-x] -D
-u      url     target url.
-d      dic     dictionary file.
-m      mode    dic mode. 0:no change; 1:upper first character; 2:upper all. default:0
-p      prefix  prefix on the dictionary file every line when try.
-S              no arg, https mode
-s      second  sleep time scan loop. default:1s
-t      type    scan type. 1:dir; 2:file; 3:dir+file; 4:params or special. default:3
if -t=4, url like this: "http://jiwo.org/index.php?mod={dic}admin&user=ecawen"
-e      ext     file extension. default:.php
-A      str     additional bin(wget) args, eg:  -A --header="Cookie:PHPSESSID=jjlsrs9aodphehq5mnt3kiblh3;"
-i      uri     can visit uri. this option can de-defense detect '404' num
-n      num     with -i, distanse try num. default 2
-k      filter  filter serfile. str is not exist str!
-f      filter  filter fake serfile size. eg. 50-200
-j      filter2 exact judge head. then ignore other judge internal, often use scan tomcat dir
'/' can auto add in url if dir exist on tomcat
-r              filter2 negative, no arg.
-x      seconds pppoe redial when work be locked. 0:no redial; other:redial and work after seconds
input 300s is good. default:0. pppoe should debian/ubuntu who use pon/poff for pppoe
-y      num     0:no use proxy; 1: use local proxychains. default:0. priority low than -x
proxychains can use tor or not. if use tor should use with -z
-z      torarg  with -y, tor control ip:port:passwd(eg:192.168.0.2:9051:passwd).
need write torproxyip to proxychains.
-D      level   debug mode, 0-9, default 0
eg. cwebpath -u www.jiwo.org/web -d dir.txt -s 1 -t 3 -e .php
--------------------------------------------------------------------------------------------------------------- 左上角导航栏那么明显的“下载”按链接你看不见，那就点这儿 下载　吧！