Кратко: Gobuster — это быстрый инструмент для перебора каталогов, файлов и DNS-поддоменов, написанный на Go. Если ffuf — гоночный болид для фаззинга API, то Gobuster — армейский внедорожник, надёжный и предсказуемый. Он умеет искать скрытые админки, поддомены, виртуальные хосты и даже публичные облачные бакеты. В Kali Linux он есть «из коробки».

▫️ Как дошли до жизни такой В 2017 году OJ Reeves создал Gobuster, потому что старый Dirb был медленным и однопоточным. Первая версия делала одно — перебирала папки на сайте, но делала это быстро. Потом добавили DNS, vhost, S3, GCS, TFTP. Сегодня это зрелый инструмент, который не гонится за скоростью (хотя и не тормозит), а просто честно выполняет свою работу.

▫️ Режимы (Gobuster умеет больше, чем кажется) 1. dir (Классика — поиск папок и файлов) gobuster dir -u https://site.com -w /usr/share/wordlists/dirb/common.txt -x php,html,txt

Ищет site.com/admin, site.com/backup, site.com/index.php и т.д. Флаг -x добавляет расширения файлов, -t задаёт количество потоков.

2. dns (Поиск поддоменов) gobuster dns -d site.com -w subdomains.txt Находит admin.site.com, dev.site.com, api.site.com. Полезно для разведки инфраструктуры.

3. vhost (Поиск виртуальных хостов) gobuster vhost -u site.com -w vhosts.txt

На одном IP может висеть 100 сайтов. Gobuster подставляет слова в заголовок Host и смотрит, какой из них отвечает.

4. s3, gcs, tftp (Облака и старьё) gobuster s3 -w buckets.txt

Проверяет, не забыл ли админ расшарить бакет Amazon S3 или Google Cloud на весь мир.

▫️ Почему Gobuster, а не другой инструмент Стабильность. ffuf иногда вылетает с ошибками парсинга, а Gobuster пашет сутками. Разнообразие задач. Он заменяет несколько утилит: Dirb для папок, Fierce для DNS, и даже S3-сканер. Простота. Команды логичны и хорошо документированы.

▫️ Культурный феномен · «Бабушкин суп» — Gobuster до сих пор используют, потому что он надёжен и прост. Многие CI/CD-пайплайны включают именно его, а не ffuf. · User Agent — старые версии Gobuster имели дефолтный User-Agent gobuster, что было заметно в логах. Сейчас это можно переопределить через -a "Mozilla..". · Gobuster vs ffuf — холивар сообщества: одни любят скорость и гибкость ffuf, другие — стабильность и режимы Gobuster.

▫️ Современное положение (2026) Gobuster всё ещё актуален. Когда выбирать Gobuster: · Если вам нужно искать не только папки, но и поддомены, vhost, облачные бакеты. · Вы пишете скрипт для CI/CD и хотите минимум зависимостей. · Вам не нужны тонкие фильтры — важно просто получить список найденного. Правильный выбор: ffuf для фаззинга API и сложных атак, Gobuster для быстрой разведки каталогов и DNS. Хороший пентестер держит под рукой оба.

#gobuster #веббезопасность #пентест #dirbusting #kalilinux