scary strings
1.0.0
¡Flag, las llamadas de API potencialmente peligrosas en el código fuente, también conocido como líneas que contienen cuerdas de miedo desde una perspectiva de seguridad!
Este repositorio contiene una lista de cadenas (generalmente nombres de funciones) que son relevantes para la auditoría de seguridad, generalmente porque realizan una operación sensible como cambiar el estado de una base de datos o acceder al sistema de archivos.
Además de las listas de palabras específicas de la tecnología, la carpeta comments contiene cadenas que probablemente estarán relacionadas con las notas del desarrollador que quedan en el código fuente.
Busque estas cuerdas y genere ideas para piratear. Tal vez pueda detectar dónde se está modificando la base de datos y trabajar hacia atrás para encontrar una inyección SQL. Tal vez un mensaje de 'TODO' revela un error que los desarrolladores no solucionaron. Las posibilidades son infinitas. Ahorre tiempo y una lesión repetitiva de estrés saltando a las partes peligrosas de la aplicación. Esta colección de listas de palabras le mostrará todos los puertos de escape térmico en la Estrella de la Muerte para que no tenga que explorar todo.
Escanear para estas cuerdas es una buena manera de mejorar la seguridad de su aplicación. Por lo general, hay buenas prácticas y patrones para hacer las cosas de manera segura según el lenguaje que está utilizando. Si puede verificar que tales llamadas de funciones se manejen de manera segura, ¡geniales! Su aplicación es más segura que cuando comenzó.
wordlists
├── blockchain
│ └── all
├── comments
│ ├── all
│ ├── derogatory
│ ├── security
│ └── todo
├── cosmossdk
│ ├── abci
│ ├── module-auth
│ ├── module-authz
│ ├── module-bank
│ ├── module-group
│ └── module-staking
├── cryptography
│ └── all
├── go
│ ├── all
│ ├── cryptography
│ ├── db-access
│ ├── deprecated
│ ├── err
│ ├── randomness
│ └── unsafe
├── java
│ ├── db_access
│ ├── file_access
│ ├── file_inclusion
│ ├── os_command_execution
│ └── url_redirect
├── javascript
│ ├── all
│ ├── deprecated
│ ├── dom-xss
│ ├── generic
│ ├── randomness
│ ├── react
│ └── redos
├── linters
│ └── all
├── perl
│ └── all
├── php
│ ├── all
│ ├── db_access
│ ├── dynamic_code_execution
│ ├── file_access
│ ├── file_inclusion
│ ├── os_command_execution
│ ├── randomness
│ ├── redos
│ ├── serialization
│ ├── sockets
│ ├── superglobals
│ ├── url_redirection
│ └── xxe
├── python
│ ├── all
│ ├── bypass
│ ├── object_serialization
│ ├── os_command_execution
│ └── string_formatting
├── rust
│ ├── all
│ ├── clone
│ ├── panic-macros
│ ├── randomness
│ ├── resource-exhaustion
│ ├── slices
│ ├── unsafe
│ ├── unwrap
│ └── vectors
├── secrets
│ ├── all
│ ├── api-keys
│ └── public-keys
├── solana
│ └── all
└── solidity
└── all
16 directories, 65 files
La mayoría de las entradas en las listas de palabras provienen de mi experiencia laboral como ingeniero de seguridad y probador de penetración. Las referencias para algunas de estas opciones se pueden encontrar en el Historial de cometer GIT, así como los problemas de GitHub del proyecto.
Para muchas programas de los lenguajes de programación compatibles, las listas provienen de libros de piratería bien conocidos que se enumeran a continuación. Tenga en cuenta que estos libros se publicaron en 2011, por lo que parte de la información puede estar fechada.
