scary strings
1.0.0
Flag des appels API potentiellement dangereux dans le code source, aka lignes contenant des chaînes effrayantes du point de vue de la sécurité!
Ce référentiel contient une liste de chaînes (généralement des noms de fonction) qui sont pertinentes pour l'audit de sécurité, généralement parce qu'elles effectuent une opération sensible comme la modification de l'état d'une base de données ou l'accès au système de fichiers.
En plus des listes de mots spécifiques à la technologie, le dossier comments contient des chaînes susceptibles d'être liées aux notes de développeur laissées dans le code source.
Recherchez ces chaînes et générez des idées de piratage. Vous pouvez peut-être repérer où la base de données est modifiée et se retirer pour trouver une injection SQL. Peut-être qu'un message «Todo» révèle un bug que les développeurs n'ont pas corrigé. Les possibilités sont infinies. Gardez-vous le temps et les blessures de stress répétitif en sautant dans les parties dangereuses de l'application. Cette collection de listes de mots vous montrera tous les ports d'échappement thermiques sur l'étoile de la mort afin que vous n'ayez pas à explorer le tout.
La numérisation de ces chaînes est un bon moyen d'améliorer la sécurité de votre application. En règle générale, il existe de bonnes pratiques et modèles pour faire les choses en toute sécurité selon le langage que vous utilisez. Si vous pouvez vérifier que ces appels de fonction sont traités en toute sécurité, super! Votre application est plus sécurisée que lorsque vous avez commencé.
wordlists
├── blockchain
│ └── all
├── comments
│ ├── all
│ ├── derogatory
│ ├── security
│ └── todo
├── cosmossdk
│ ├── abci
│ ├── module-auth
│ ├── module-authz
│ ├── module-bank
│ ├── module-group
│ └── module-staking
├── cryptography
│ └── all
├── go
│ ├── all
│ ├── cryptography
│ ├── db-access
│ ├── deprecated
│ ├── err
│ ├── randomness
│ └── unsafe
├── java
│ ├── db_access
│ ├── file_access
│ ├── file_inclusion
│ ├── os_command_execution
│ └── url_redirect
├── javascript
│ ├── all
│ ├── deprecated
│ ├── dom-xss
│ ├── generic
│ ├── randomness
│ ├── react
│ └── redos
├── linters
│ └── all
├── perl
│ └── all
├── php
│ ├── all
│ ├── db_access
│ ├── dynamic_code_execution
│ ├── file_access
│ ├── file_inclusion
│ ├── os_command_execution
│ ├── randomness
│ ├── redos
│ ├── serialization
│ ├── sockets
│ ├── superglobals
│ ├── url_redirection
│ └── xxe
├── python
│ ├── all
│ ├── bypass
│ ├── object_serialization
│ ├── os_command_execution
│ └── string_formatting
├── rust
│ ├── all
│ ├── clone
│ ├── panic-macros
│ ├── randomness
│ ├── resource-exhaustion
│ ├── slices
│ ├── unsafe
│ ├── unwrap
│ └── vectors
├── secrets
│ ├── all
│ ├── api-keys
│ └── public-keys
├── solana
│ └── all
└── solidity
└── all
16 directories, 65 files
La plupart des entrées des listes de mots proviennent de mon expérience de travail en tant qu'ingénieur de sécurité et testeur de pénétration. Les références pour certains de ces choix peuvent être trouvées dans l'historique Git Commit ainsi que dans les problèmes de github du projet.
Pour de nombreuses programmes des langages de programmation pris en charge, les listes proviennent de livres de piratage bien connus répertoriés ci-dessous. Notez que ces livres ont été publiés en 2011 afin que certaines informations puissent être datées.
