在野外发现 URL 往往以三种方式之一完成

1. 基于搜索引擎。如果您的内容被搜索引擎索引，它是可发现的。这不仅包括他们直接访问您的网站，如果其他网站链接到该内容，它可能会以这种方式找到。
2. “已知网址”。有很多已知的 URL，例如管理界面或具有已知问题的 CGI。像nikto这样的工具维护它们的数据库，攻击者可以使用它来发现安装了该软件的系统。
3. 蛮力。OWASP DirBuster之类的工具与常用目录/文件名列表相结合，可用于发现内容。

就无针对性的攻击而言，除非您在默认 URL 上托管了一个常见的易受攻击的软件（例如 phpmyadmin），否则您不太可能遇到问题，因为 Internet 上的网站数量之多使您不太可能面临人类攻击者专注于在您的网站上查找内容。

使用 nikto 和 dirbuster 等有针对性的攻击者工具可以尝试在您的网站上查找内容。

如果您有不想被发现的信息，我建议您添加身份验证和 SSL 以防止未经授权的访问。

一种方法是使用名为 ZAP 的工具，它包含 DirBuster 的一个分支。您可以使用字典强制浏览来尝试常见的 url。

ZAP 是 OWASP 的免费工具