scary strings
1.0.0
Sinalize as chamadas de API potencialmente perigosas no código -fonte, também conhecido como linhas contendo seqüências assustadoras de uma perspectiva de segurança!
Esse repositório contém uma lista de strings (geralmente nomes de funções) relevantes para a auditoria de segurança, geralmente porque executam uma operação sensível, como alterar o estado de um banco de dados ou acessar o sistema de arquivos.
Além das listas de palavras específicas da tecnologia, a pasta de comments contém strings que provavelmente estão relacionados às notas do desenvolvedor deixadas no código-fonte.
Procure essas cordas e gerar idéias para hackers. Talvez você possa identificar onde o banco de dados está sendo modificado e recuperando o caminho para encontrar uma injeção de SQL. Talvez uma mensagem 'TODO' revele um bug que os desenvolvedores não consertaram. As possibilidades são infinitas. Economize tempo e lesão de estresse repetitivo, pulando para as partes perigosas do aplicativo. Esta coleção de listas de palavras mostrará todas as portas de escape térmicas na Estrela da Morte, para que você não precise explorar tudo.
A digitalização para essas seqüências é uma boa maneira de melhorar a segurança do seu aplicativo. Normalmente, existem boas práticas e padrões para fazer as coisas com segurança, de acordo com o idioma que você está usando. Se você puder verificar se essas chamadas de função são atendidas com segurança, ótimo! Seu aplicativo é mais seguro do que quando você começou.
wordlists
├── blockchain
│ └── all
├── comments
│ ├── all
│ ├── derogatory
│ ├── security
│ └── todo
├── cosmossdk
│ ├── abci
│ ├── module-auth
│ ├── module-authz
│ ├── module-bank
│ ├── module-group
│ └── module-staking
├── cryptography
│ └── all
├── go
│ ├── all
│ ├── cryptography
│ ├── db-access
│ ├── deprecated
│ ├── err
│ ├── randomness
│ └── unsafe
├── java
│ ├── db_access
│ ├── file_access
│ ├── file_inclusion
│ ├── os_command_execution
│ └── url_redirect
├── javascript
│ ├── all
│ ├── deprecated
│ ├── dom-xss
│ ├── generic
│ ├── randomness
│ ├── react
│ └── redos
├── linters
│ └── all
├── perl
│ └── all
├── php
│ ├── all
│ ├── db_access
│ ├── dynamic_code_execution
│ ├── file_access
│ ├── file_inclusion
│ ├── os_command_execution
│ ├── randomness
│ ├── redos
│ ├── serialization
│ ├── sockets
│ ├── superglobals
│ ├── url_redirection
│ └── xxe
├── python
│ ├── all
│ ├── bypass
│ ├── object_serialization
│ ├── os_command_execution
│ └── string_formatting
├── rust
│ ├── all
│ ├── clone
│ ├── panic-macros
│ ├── randomness
│ ├── resource-exhaustion
│ ├── slices
│ ├── unsafe
│ ├── unwrap
│ └── vectors
├── secrets
│ ├── all
│ ├── api-keys
│ └── public-keys
├── solana
│ └── all
└── solidity
└── all
16 directories, 65 files
A maioria das entradas nas listas de palavras vem da minha experiência de trabalho como engenheiro de segurança e testador de penetração. As referências para algumas dessas opções podem ser encontradas no histórico do GIT Commit, bem como nos problemas do Github do projeto.
Para muitas programas das linguagens de programação suportadas, as listas vêm de livros de hackers conhecidos listados abaixo. Observe que esses livros foram publicados em 2011 para que algumas das informações possam ser datadas.
