Bayangkan kamu lagi stalking sosmed gebetan tapi cuma tahu nama depan.
Hasilnya ya cuma nama depan itu doang.
Nah, di dunia pentest, situasi mirip itu sering terjadi: kita tahu domain target, tapi gak tahu folder atau file apa aja yang sebenernya ada di balik layar.
Di sinilah Gobuster masuk sebagai “cari-cari nama belakang” versi hacker, tapi versi legal ya.
Apa sih Gobuster?
Gobuster adalah tool open-source berbasis Go yang dirancang untuk brute-force nama direktori, subdomain, DNS, dan bahkan bucket S3.
Ringkasnya: Gobuster bakal ngebombardir target dengan ribuan kata dari wordlist supaya ketahuan folder-file tersembunyi atau layanan yang belum ketutup rapat.
Beda dari Burp Intruder atau dirb yang pakai Python, Gobuster dipakai Go jadi performanya kenceng banget dan gak perlu install runtime tambahan.
Komponen Penting di Balik Layar
1. Wordlist
Otak Gobuster ada di sini.
Kamu bisa pakai list dari SecLists, hasil kreasi sendiri, atau yang udah disediakan distro Kali.
Semakin besar wordlist, semakin panjang proses, tapi peluang nemu “rahasia” juga makin gede.
2. Mode Scan
– dir → brute-force direktori dan file
– dns → enumerate subdomain
– vhost → cari virtual host yang tersembunyi
– s3 → ngecek bucket AWS yang namanya mungkin typo atau lupa di-private
– gcs → Google Cloud Storage bucket
3. Thread dan Delay
Default-nya 10 thread, tapi kalo spek laptop gaming, kamu bisa crank sampai 50.
Delay berguna buat hindari rate-limit dari target atau WAF yang galak.
Cara Kerja Singkat tapi Tajam
1. Gobuster baca wordlist baris per baris.
2. Setiap kata dikombinasikan ke URL target (misalnya http://target.com/[word]).
3. Ia cek response code: 200 (OK), 301 (redirect), 403 (forbidden), 404 (not found).
4. Hasil yang menarik ditampilkan real-time di terminal dengan warna hijau-merah biar gampang dibaca.
5. Kalau kamu nyalakan flag -x, Gobuster juga bakal coba ekstensi .php, .txt, .bak, dll otomatis.
Contoh Kasus di Lapangan
Misal ada startup fintech yang deploy API di api.target.com tapi lupa matiin versi lama di staging.target.com.
Dengan satu baris perintah:
gobuster dns -d target.com -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt
Dalam hitungan menit kamu bakal lihat staging, dev, dan bahkan mail.target.com muncul.
Di fase selanjutnya, tiap subdomain bisa disikat lagi pakai mode dir untuk nemu path /admin, /backup-db.zip, atau .env yang isinya kredensial AWS.
Tips Supaya Nggak Ketahuan
– Gunakan flag –delay atau –timeout biar terlihat kayak traffic biasa.
– Rotate user-agent pakai –ua flag atau proxy via Burp.
– Jangan lupa lihat robots.txt dulu; kadang target udah kasih petunjuk gratis.
Gobuster cuma sebatas scanner.
Temuan “bocoran folder” belum tentu langsung bisa dieksploitasi.
Tugas pentester selanjutnya adalah validasi: apakah file itu emang sensitif, apakah direktori itu bisa diakses publik, atau cuma false positive.
Intinya, Gobuster mempercepat fase recon, tapi akal sehat dan izin tetap harus nomor satu.