scary strings
1.0.0
Bendera yang berpotensi panggilan API berbahaya dalam kode sumber, alias garis yang berisi string menakutkan dari perspektif keamanan!
Repositori ini berisi daftar string (biasanya nama fungsi) yang relevan dengan audit keamanan, biasanya karena mereka melakukan operasi sensitif seperti mengubah keadaan database atau mengakses sistem file.
Selain daftar kata khusus teknologi, ada folder comments berisi string yang mungkin terkait dengan catatan pengembang yang tersisa dalam kode sumber.
Cari string ini dan hasilkan ide untuk peretasan. Mungkin Anda dapat melihat di mana database sedang dimodifikasi dan bekerja mundur untuk menemukan injeksi SQL. Mungkin pesan 'TODO' mengungkapkan bug yang tidak diperbaiki oleh para devs. Kemungkinannya tidak terbatas. Hemat waktu dan cedera stres berulang dengan melompat ke bagian-bagian berbahaya dari aplikasi. Koleksi daftar kata ini akan menunjukkan kepada Anda semua port knalpot termal di The Death Star sehingga Anda tidak perlu menjelajahi semuanya.
Pemindaian untuk string ini adalah cara yang baik untuk meningkatkan keamanan aplikasi Anda. Biasanya ada praktik dan pola yang baik untuk melakukan hal -hal dengan aman sesuai dengan bahasa yang Anda gunakan. Jika Anda dapat memverifikasi bahwa panggilan fungsi seperti itu ditangani dengan aman, bagus! Aplikasi Anda lebih aman daripada saat Anda mulai.
wordlists
├── blockchain
│ └── all
├── comments
│ ├── all
│ ├── derogatory
│ ├── security
│ └── todo
├── cosmossdk
│ ├── abci
│ ├── module-auth
│ ├── module-authz
│ ├── module-bank
│ ├── module-group
│ └── module-staking
├── cryptography
│ └── all
├── go
│ ├── all
│ ├── cryptography
│ ├── db-access
│ ├── deprecated
│ ├── err
│ ├── randomness
│ └── unsafe
├── java
│ ├── db_access
│ ├── file_access
│ ├── file_inclusion
│ ├── os_command_execution
│ └── url_redirect
├── javascript
│ ├── all
│ ├── deprecated
│ ├── dom-xss
│ ├── generic
│ ├── randomness
│ ├── react
│ └── redos
├── linters
│ └── all
├── perl
│ └── all
├── php
│ ├── all
│ ├── db_access
│ ├── dynamic_code_execution
│ ├── file_access
│ ├── file_inclusion
│ ├── os_command_execution
│ ├── randomness
│ ├── redos
│ ├── serialization
│ ├── sockets
│ ├── superglobals
│ ├── url_redirection
│ └── xxe
├── python
│ ├── all
│ ├── bypass
│ ├── object_serialization
│ ├── os_command_execution
│ └── string_formatting
├── rust
│ ├── all
│ ├── clone
│ ├── panic-macros
│ ├── randomness
│ ├── resource-exhaustion
│ ├── slices
│ ├── unsafe
│ ├── unwrap
│ └── vectors
├── secrets
│ ├── all
│ ├── api-keys
│ └── public-keys
├── solana
│ └── all
└── solidity
└── all
16 directories, 65 files
Sebagian besar entri dalam daftar kata berasal dari pengalaman kerja saya sebagai insinyur keamanan dan penguji penetrasi. Referensi untuk beberapa pilihan ini dapat ditemukan dalam sejarah Git Commit serta masalah GitHub proyek.
Untuk banyak pemrograman bahasa pemrograman yang didukung, daftar tersebut berasal dari buku peretasan terkenal yang tercantum di bawah ini. Perhatikan bahwa buku -buku ini diterbitkan pada tahun 2011 sehingga beberapa informasi dapat bertanggal.
