Guide des listes de mots Gobuster : Meilleures listes pour le directory busting

Qu'est-ce que Gobuster et pourquoi les listes de mots sont importantes

Gobuster est un outil en ligne de commande écrit en Go qui force brutalement les répertoires, les fichiers, les sous-domaines DNS et les hôtes virtuels sur les serveurs web. Contrairement aux robots d'indexation web qui suivent les liens, Gobuster prend une liste de mots et demande systématiquement chaque entrée contre votre cible pour découvrir du contenu caché qui n'est lié nulle part sur le site.

La liste de mots est le cœur de tout scan Gobuster. Pensez-y comme un dictionnaire de suppositions. Gobuster lit chaque mot du fichier et l'ajoute à votre URL cible, vérifiant si ce chemin existe. Une liste de mots contenant "admin" testera https://target.com/admin, tandis qu'une contenant "backup.sql" pourrait révéler un dump de base de données à https://target.com/backup.sql.

Cette approche a une implication critique : Gobuster ne peut trouver que ce qui est dans votre liste de mots. Si votre liste ne contient pas "administrator" mais que la cible utilise ce chemin au lieu de "admin", vous le manquerez complètement. C'est pourquoi la sélection de la liste de mots compte plus que presque toute autre option de configuration.

L'équilibre entre la taille de la liste de mots et la vitesse de scan crée un compromis constant. Une liste de 10 000 mots peut se terminer en moins d'une minute mais manquer des chemins peu communs. Une liste de 2 millions de mots couvre plus de terrain mais peut prendre des heures et générer du trafic suspect. Apprendre à choisir la bonne liste de mots pour chaque situation est ce qui sépare les tests de sécurité efficaces du scan sans but.

Où trouver des listes de mots pour Gobuster

Avant de plonger dans des recommandations spécifiques, vous devez savoir où vivent les listes de mots. La plupart des distributions Linux axées sur la sécurité sont livrées avec des listes de mots pré-installées, et plusieurs projets communautaires maintiennent des collections complètes.

Emplacements par défaut de Kali Linux

Kali Linux inclut des listes de mots dans plusieurs répertoires :

• /usr/share/wordlists/ - Répertoire principal des listes de mots
• /usr/share/wordlists/dirb/ - Listes de mots de l'outil DIRB
• /usr/share/wordlists/dirbuster/ - Listes de mots DirBuster
• /usr/share/seclists/ - Collection SecLists (si installée)

Sur une installation fraîche de Kali, vous devrez peut-être extraire la liste de mots rockyou.txt par défaut avec gunzip /usr/share/wordlists/rockyou.txt.gz. Les listes DirBuster sont généralement prêtes à l'emploi immédiatement.

SecLists : La collection essentielle

SecLists est le référentiel de listes de mots le plus complet de la communauté de sécurité. Maintenu par Daniel Miessler et la communauté sur GitHub, il contient des listes catégorisées pour l'énumération de répertoires, la découverte de sous-domaines, les attaques par mot de passe, le fuzzing et plus encore.

Installez SecLists sur Kali avec :

sudo apt install seclists

Ou clonez directement depuis GitHub :

git clone https://github.com/danielmiessler/SecLists.git

Après l'installation, vous trouverez des listes de mots axées sur les répertoires sous /usr/share/seclists/Discovery/Web-Content/. Ce dossier seul contient des dizaines de listes spécialisées pour différentes technologies web et cas d'utilisation.

Autres sources notables

Au-delà de SecLists, plusieurs autres projets offrent des listes de mots de qualité :

• Assetnote Wordlists - Générées à partir de données du monde réel extraites de millions de sites web
• FuzzDB - Modèles d'attaque et listes de découverte axés sur les tests d'applications
• PayloadsAllTheThings - Inclut des listes de mots aux côtés de charges utiles d'exploitation

Meilleures listes de mots Gobuster pour l'énumération de répertoires en 2026

Toutes les listes de mots ne sont pas créées égales. Voici les options les plus efficaces pour la découverte de répertoires et de fichiers, organisées par cas d'utilisation et taille.

Scans rapides : Petites listes de mots

Lorsque vous avez besoin de résultats rapides ou que vous voulez minimiser le trafic, ces listes compactes couvrent les chemins les plus courants :

• common.txt (4 614 entrées) - Le point de départ incontournable. Situé à /usr/share/wordlists/dirb/common.txt, cette liste cible les noms de répertoires et de fichiers les plus fréquemment utilisés.
• raft-small-directories.txt (20 000 entrées) - De SecLists, compilé à partir de données d'exploration web réelles. Excellent rapport signal/bruit.

Exemple de commande pour un scan rapide :

gobuster dir -u https://target.com -w /usr/share/wordlists/dirb/common.txt

Scans standards : Listes de mots moyennes

Pour des tests approfondis sans investissement de temps excessif, les listes de taille moyenne offrent le meilleur équilibre :

• directory-list-2.3-medium.txt (220 560 entrées) - La norme de l'industrie pour l'énumération de répertoires. Trouvée à /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt.
• raft-medium-directories.txt (30 000 entrées) - Compilée à partir de sites web réels, moins de bruit que les listes DirBuster.

La directory-list-2.3-medium est probablement la liste de mots la plus couramment utilisée dans les tests d'intrusion. La plupart des tutoriels et des cours y font référence, ce qui en fait un choix fiable lorsque vous n'êtes pas sûr de ce qu'il faut utiliser.

Scans complets : Grandes listes de mots

Lorsque vous avez besoin d'une couverture maximale et que vous avez du temps à perdre :

• directory-list-2.3-big.txt (1 273 833 entrées) - Couverture exhaustive au prix de longs temps de scan.
• raft-large-directories.txt (62 000 entrées) - Grande mais toujours gérable, bonne pour les cibles importantes.

Les grandes listes de mots ont du sens pour les cibles de grande valeur ou lorsque les scans initiaux n'ont rien donné. Commencez toujours plus petit et augmentez si nécessaire.

Listes de mots spécifiques aux technologies

SecLists inclut des listes de mots adaptées à des technologies spécifiques :

• IIS.fuzz.txt - Chemins spécifiques à Microsoft IIS
• apache.txt - Chemins du serveur web Apache
• nginx.txt - Chemins de configuration Nginx
• tomcat.txt - Répertoires Apache Tomcat
• PHP.fuzz.txt - Chemins d'applications PHP
• CGIs.txt - Scripts CGI hérités

Identifiez d'abord votre cible à l'aide d'outils comme Nmap ou Wappalyzer, puis sélectionnez des listes spécifiques à la technologie appropriées. Consultez notre aide-mémoire Nmap pour les techniques d'identification de serveur.

Comment utiliser les listes de mots avec Gobuster

Comprendre la syntaxe de Gobuster vous aide à tirer le meilleur parti de n'importe quelle liste de mots. Voici les commandes et options essentielles pour un scan efficace.

Énumération de répertoires de base

La structure de commande Gobuster fondamentale :

gobuster dir -u https://target.com -w /chemin/vers/wordlist.txt

Indicateurs clés que vous devriez connaître :

• -u - URL cible (requis)
• -w - Chemin vers le fichier de liste de mots (requis)
• -t - Nombre de threads concurrents (par défaut : 10)
• -x - Extensions de fichiers à rechercher
• -o - Fichier de sortie pour les résultats
• -k - Ignorer la vérification du certificat TLS

Ajout d'extensions de fichiers

De nombreux fichiers précieux ont des extensions. Utilisez l'indicateur -x pour ajouter des extensions à chaque entrée de liste de mots :

gobuster dir -u https://target.com -w /usr/share/wordlists/dirb/common.txt -x php,txt,html,bak

Cela transforme "config" dans votre liste de mots en requêtes pour config, config.php, config.txt, config.html et config.bak. Sachez que l'ajout d'extensions multiplie considérablement votre nombre de requêtes.

Optimisation de la vitesse de scan

Augmentez les threads pour accélérer les scans sur les serveurs réactifs :

gobuster dir -u https://target.com -w wordlist.txt -t 50

Soyez prudent avec des nombres élevés de threads. Certains serveurs ont une limitation de débit qui bloquera votre IP ou renverra des faux négatifs. Commencez avec 10-20 threads et augmentez uniquement si la cible le gère bien.

Filtrage des résultats

Concentrez-vous sur les résultats pertinents en filtrant les codes de statut :

gobuster dir -u https://target.com -w wordlist.txt -s "200,204,301,302,307,401,403"

Ou excluez les codes indésirables :

gobuster dir -u https://target.com -w wordlist.txt -b "404,503"

Les réponses 403 Forbidden indiquent souvent des répertoires protégés mais existants, ce qui en fait des découvertes précieuses même si l'accès est refusé.

Scan récursif

Gobuster ne prend pas en charge nativement le scan récursif dans une seule commande, mais vous pouvez enchaîner les scans. Lorsque vous découvrez un répertoire comme /admin/, lancez un deuxième scan contre lui :

gobuster dir -u https://target.com/admin/ -w wordlist.txt

Certains scripts d'encapsulation automatisent ce processus, mais la récursion manuelle vous donne plus de contrôle sur les chemins qui méritent une investigation plus approfondie.

Choisir la bonne liste de mots pour votre cible

La sélection de la liste de mots devrait être stratégique, pas aléatoire. Considérez ces facteurs lors de la décision de quelle liste utiliser.

Reconnaissance de la cible d'abord

Avant d'exécuter Gobuster, recueillez des informations sur votre cible :

• Type de serveur web - Apache, Nginx, IIS ou autres
• Langage de programmation - PHP, ASP.NET, Python, Node.js
• Framework - WordPress, Django, Laravel, Express
• Industrie - La santé, la finance et le commerce électronique ont des modèles courants

Ces informations guident la sélection de la liste de mots. Une application PHP justifie la recherche de fichiers .php, tandis qu'un site ASP.NET nécessite des extensions .aspx et .ashx. Si vous êtes nouveau dans la reconnaissance, notre cours de piratage éthique couvre ces fondamentaux.

Commencez petit, puis développez

Commencez toujours par une petite liste de mots. Si common.txt révèle des répertoires intéressants, vous avez des gains rapides à enquêter. S'il ne renvoie rien, passez à des listes moyennes ou grandes. Cette approche fait gagner du temps et réduit le bruit dans vos résultats.

Combinez plusieurs listes de mots

Fusionnez les listes de mots pour une couverture complète :

cat list1.txt list2.txt | sort -u > combined.txt

Le sort -u supprime les doublons, gardant votre liste combinée efficace. Cette technique fonctionne bien lorsque vous voulez à la fois une couverture générale et des entrées spécifiques à la technologie.

Considérez le temps de réponse

Les serveurs lents exigent des listes de mots plus petites ou de la patience. Une cible répondant en 500 ms par requête prendra plus de 30 heures pour scanner avec directory-list-2.3-big. Calculez le temps de scan attendu avant de lancer :

Temps estimé = (entrées de liste de mots × extensions) / (threads × requêtes par seconde)

Créer des listes de mots personnalisées pour de meilleurs résultats

Les listes de mots génériques fonctionnent pour les cibles génériques. Pour des applications ou des organisations spécifiques, les listes de mots personnalisées améliorent considérablement les taux de découverte.

CeWL : Générateur de liste de mots personnalisée

CeWL explore un site web et extrait des mots pour créer une liste de mots spécifique à la cible :

cewl https://target.com -d 2 -m 5 -w custom_wordlist.txt

Indicateurs expliqués :

• -d 2 - Profondeur d'exploration de 2 niveaux
• -m 5 - Longueur minimale du mot de 5 caractères
• -w - Fichier de sortie

Les listes générées par CeWL contiennent souvent des termes spécifiques à l'entreprise, des noms de produits et une terminologie que les listes de mots génériques manquent entièrement.

Construire des listes à partir de fichiers JavaScript

Les applications web modernes exposent des chemins dans JavaScript. Extrayez-les pour trouver des points de terminaison API et des routes cachées :

curl -s https://target.com/app.js | grep -oE '["'"'"'](/[a-zA-Z0-9_/-]+)["'"'"']' | tr -d '"'"'"' | sort -u

De nombreuses applications à page unique regroupent leur table de routage entière dans des fichiers JavaScript, rendant cette technique très efficace.

Mutation de liste de mots

Transformez les listes de mots existantes pour capturer des variations :

• Ajoutez des préfixes courants : admin → admin, admin_backup, admin_old
• Ajoutez des suffixes de date : backup → backup, backup2025, backup2026
• Variations de casse : Admin, ADMIN, admin
• Substitutions de nombres : admin → adm1n, admin1, admin123

Des outils comme Mentalist et les règles hashcat peuvent automatiser la mutation de liste de mots, bien que la création manuelle produise souvent des résultats plus ciblés.

Apprendre des résultats

Vos découvertes informent les futures listes de mots. Si vous découvrez /api/v1/users, ajoutez des variations comme /api/v2/users, /api/v1/admin et /api/v1/config à votre liste personnalisée. Au fil du temps, vous construisez des listes de mots adaptées à des modèles d'application spécifiques. Pratiquez cette approche itérative sur les défis CTF pour développer votre intuition.

Erreurs courantes de liste de mots à éviter

Même les testeurs expérimentés font des erreurs de liste de mots. Évitez ces pièges courants :

Utiliser une seule liste de mots

Se fier à une seule liste de mots limite vos découvertes. Différentes listes ont différentes forces. Les listes RAFT proviennent de données d'exploration web réelles, tandis que les listes DirBuster ont été compilées à partir de l'expérience des tests de sécurité. Utilisez les deux pour une meilleure couverture.

Ignorer la sensibilité à la casse

Les serveurs Linux sont sensibles à la casse. "Admin" et "admin" sont des répertoires différents. Les serveurs Windows sont généralement insensibles à la casse. Connaissez le système d'exploitation de votre cible et ajustez votre approche. Certaines listes de mots incluent des variations de casse, tandis que d'autres nécessitent que vous ajoutiez l'indicateur -n pour la normalisation en minuscules.

Oublier les extensions de fichiers

Une liste de mots pleine de noms de répertoires manque les fichiers. Considérez toujours quels types de fichiers votre cible pourrait servir et ajoutez des extensions appropriées avec -x.

Ignorer les extensions de sauvegarde

Les développeurs laissent fréquemment des fichiers de sauvegarde exposés : .bak, .old, .orig, .save, .swp, .tmp. Ces sauvegardes contiennent souvent du code source ou des détails de configuration. Incluez les extensions de sauvegarde dans vos scans, en particulier sur les serveurs de développement ou de staging.

Ne pas personnaliser pour la cible

Les listes de mots génériques fonctionnent génériquement. Prenez cinq minutes pour rechercher votre cible et ajouter des termes pertinents. Le nom de l'entreprise, les produits, les noms des employés et la terminologie de l'industrie améliorent considérablement les résultats.

Submerger la cible

Les grandes listes de mots avec un nombre élevé de threads peuvent déclencher des alertes de sécurité, faire planter des serveurs instables ou faire bannir votre IP. Commencez de manière conservatrice et augmentez l'intensité uniquement avec l'autorisation appropriée.

Considérations éthiques et légales

L'énumération de répertoires avec Gobuster envoie des milliers de requêtes à un serveur cible. Cette activité n'est légale et éthique que lorsque vous avez une autorisation écrite explicite du propriétaire du système.

Les utilisations autorisées incluent :

• Tests d'intrusion avec un accord de portée signé
• Programmes de primes de bogues où l'énumération de répertoires est autorisée
• Test de vos propres serveurs et applications
• Compétitions CTF et laboratoires intentionnellement vulnérables
• Environnements éducatifs conçus pour la pratique de la sécurité

Ne scannez jamais :

• Systèmes de production sans autorisation écrite
• Cibles en dehors de votre portée autorisée
• Systèmes où les conditions d'utilisation interdisent les tests de sécurité

Même avec autorisation, communiquez avec l'organisation cible sur votre calendrier de tests. Des pics de trafic inattendus peuvent alarmer les équipes de sécurité et gaspiller les ressources de réponse aux incidents. Pratiquez vos compétences sur des plateformes comme les laboratoires HackerDNA ou d'autres environnements intentionnellement vulnérables avant de tester des systèmes réels.

Foire aux questions

Quelle est la meilleure liste de mots pour les débutants Gobuster ?

Commencez avec /usr/share/wordlists/dirb/common.txt. Elle contient environ 4 600 entrées couvrant les noms de répertoires et de fichiers les plus fréquemment utilisés. Cette liste s'exécute rapidement et vous enseigne les bases de Gobuster sans résultats accablants.

Où puis-je trouver des listes de mots sur Kali Linux ?

Le répertoire principal des listes de mots est /usr/share/wordlists/. Installez SecLists avec sudo apt install seclists pour la collection la plus complète, qui s'installe dans /usr/share/seclists/.

Comment utiliser une liste de mots personnalisée avec Gobuster ?

Fournissez simplement le chemin avec l'indicateur -w : gobuster dir -u https://target.com -w /chemin/vers/votre/wordlist.txt. La liste de mots doit être un fichier texte brut avec une entrée par ligne.

Quelle est la différence entre directory-list-2.3-small, medium et big ?

Ces listes d'origine DirBuster diffèrent en taille : small a environ 87 000 entrées, medium en a 220 000 et big en a plus de 1,2 million. Les listes plus grandes trouvent plus de chemins mais prennent exponentiellement plus de temps à exécuter. Medium est l'équilibre le plus couramment utilisé.

Dois-je utiliser des listes de mots RAFT ou DirBuster ?

Les deux ont de la valeur. Les listes RAFT proviennent de l'exploration de sites web réels, ce qui les rend excellentes pour les chemins courants. Les listes DirBuster ont été compilées à partir de l'expérience des tests de sécurité et incluent des entrées plus obscures. Utilisez RAFT pour les scans rapides et DirBuster pour les tests approfondis, ou combinez-les.

Gobuster peut-il trouver des fichiers sans extensions ?

Oui, Gobuster teste exactement ce que contient votre liste de mots. Si votre liste a "config" sans extension, Gobuster demande /config. Ajoutez des extensions avec -x php,txt,bak pour tester également /config.php, /config.txt et /config.bak.

Prochaines étapes : Mettez vos connaissances en pratique

Vous comprenez maintenant comment sélectionner, utiliser et créer des listes de mots efficaces pour Gobuster. Les points clés à retenir : commencez avec de petites listes de mots comme common.txt, passez à des listes plus grandes si nécessaire, personnalisez pour votre cible et testez toujours dans une portée autorisée.

La meilleure façon de développer l'intuition des listes de mots est par la pratique. Travaillez à travers les défis CTF qui nécessitent une énumération de répertoires, et faites attention aux listes de mots qui réussissent et lesquelles manquent la cible. Au fil du temps, vous développerez un sens pour quelles listes conviennent à quels scénarios.

Pour une pratique pratique des tests d'applications web, explorez notre cours d'attaques web où vous pouvez expérimenter en toute sécurité des techniques d'énumération contre des cibles intentionnellement vulnérables. Plus vous pratiquez le choix et la création de listes de mots, plus vos tests de sécurité deviennent efficaces.