scary strings
1.0.0
Flagge potenziell gefährliche API -Anrufe im Quellcode, auch bekannt als Zeilen, die gruselige Zeichenfolgen aus Sicherheitsgründen enthalten!
Dieses Repository enthält eine Liste von Zeichenfolgen (normalerweise Funktionsnamen), die für die Sicherheitsprüfung relevant sind, normalerweise weil sie einen sensiblen Vorgang wie das Ändern des Status einer Datenbank oder zum Zugriff auf das Dateisystem ausführen.
Zusätzlich zu technischspezifischen Wortlisten enthält der Ordner comments , die wahrscheinlich mit Entwicklernotizen zusammenhängen, die im Quellcode verbleiben.
Suchen Sie nach diesen Saiten und generieren Sie Ideen zum Hacken. Vielleicht können Sie erkennen, wo die Datenbank geändert wird, und arbeiten nach hinten, um eine SQL -Injektion zu finden. Vielleicht enthüllt eine 'todo' Nachricht einen Fehler, den die Entwickler nicht behoben haben. Die Möglichkeiten sind endlos. Sparen Sie sich Zeit und sich wiederholte Stress Verletzung, indem Sie in die gefährlichen Teile der App springen. Diese Sammlung von Wordlisten zeigt Ihnen alle thermischen Auspuffanschlüsse auf dem Todesstern, sodass Sie nicht das Ganze erkunden müssen.
Das Scannen nach diesen Saiten ist eine gute Möglichkeit, die Sicherheit Ihrer App zu verbessern. Normalerweise gibt es gute Praktiken und Muster, um Dinge nach der Sprache, die Sie verwenden, sicher zu tun. Wenn Sie überprüfen können, ob solche Funktionsaufrufe sicher behandelt werden, großartig! Ihre App ist sicherer als zu Beginn.
wordlists
├── blockchain
│ └── all
├── comments
│ ├── all
│ ├── derogatory
│ ├── security
│ └── todo
├── cosmossdk
│ ├── abci
│ ├── module-auth
│ ├── module-authz
│ ├── module-bank
│ ├── module-group
│ └── module-staking
├── cryptography
│ └── all
├── go
│ ├── all
│ ├── cryptography
│ ├── db-access
│ ├── deprecated
│ ├── err
│ ├── randomness
│ └── unsafe
├── java
│ ├── db_access
│ ├── file_access
│ ├── file_inclusion
│ ├── os_command_execution
│ └── url_redirect
├── javascript
│ ├── all
│ ├── deprecated
│ ├── dom-xss
│ ├── generic
│ ├── randomness
│ ├── react
│ └── redos
├── linters
│ └── all
├── perl
│ └── all
├── php
│ ├── all
│ ├── db_access
│ ├── dynamic_code_execution
│ ├── file_access
│ ├── file_inclusion
│ ├── os_command_execution
│ ├── randomness
│ ├── redos
│ ├── serialization
│ ├── sockets
│ ├── superglobals
│ ├── url_redirection
│ └── xxe
├── python
│ ├── all
│ ├── bypass
│ ├── object_serialization
│ ├── os_command_execution
│ └── string_formatting
├── rust
│ ├── all
│ ├── clone
│ ├── panic-macros
│ ├── randomness
│ ├── resource-exhaustion
│ ├── slices
│ ├── unsafe
│ ├── unwrap
│ └── vectors
├── secrets
│ ├── all
│ ├── api-keys
│ └── public-keys
├── solana
│ └── all
└── solidity
└── all
16 directories, 65 files
Die meisten Einträge in den Wordlists stammen aus meiner Berufserfahrung als Sicherheitsingenieur und Penetrationstester. Referenzen für einige dieser Entscheidungen finden Sie in der Git Commit History sowie in den Github -Problemen des Projekts.
Für viele Programme der unterstützten Programmiersprachen stammen die Listen aus bekannten Hacking-Büchern, die unten aufgeführt sind. Beachten Sie, dass diese Bücher im Jahr 2011 veröffentlicht wurden, sodass einige der Informationen datiert werden können.
