scary strings
1.0.0
Флаг потенциально опасные вызовы API в исходном коде, он же строки, содержащие страшные строки с точки зрения безопасности!
Этот репозиторий содержит список строк (обычно имена функций), которые имеют отношение к аудиту безопасности, обычно потому, что они выполняют конфиденциальную операцию, например, изменение состояния базы данных или доступ к файловой системе.
В дополнение к технологическим спискам слов, папка comments содержит строки, которые могут быть связаны с заметками разработчика, оставшимися в исходном коде.
Ищите эти строки и генерируйте идеи для взлома. Возможно, вы можете заметить, где модифицируется база данных, и пройти назад к поиску инъекции SQL. Может быть, сообщение «todo» показывает ошибку, которую разработчики не исправляли. Возможности бесконечны. Сэкономьте время и травму повторяющейся стресса, прыгнув на опасные части приложения. Эта коллекция списков слов покажет вам все тепловые выхлопные порты на Звезде Смерти, поэтому вам не нужно исследовать все это.
Сканирование этих строк - хороший способ повысить безопасность вашего приложения. Как правило, есть хорошие практики и модели для безопасного дела в зависимости от языка, который вы используете. Если вы можете убедиться, что такие функциональные вызовы обрабатываются безопасно, отлично! Ваше приложение более безопасно, чем когда вы начали.
wordlists
├── blockchain
│ └── all
├── comments
│ ├── all
│ ├── derogatory
│ ├── security
│ └── todo
├── cosmossdk
│ ├── abci
│ ├── module-auth
│ ├── module-authz
│ ├── module-bank
│ ├── module-group
│ └── module-staking
├── cryptography
│ └── all
├── go
│ ├── all
│ ├── cryptography
│ ├── db-access
│ ├── deprecated
│ ├── err
│ ├── randomness
│ └── unsafe
├── java
│ ├── db_access
│ ├── file_access
│ ├── file_inclusion
│ ├── os_command_execution
│ └── url_redirect
├── javascript
│ ├── all
│ ├── deprecated
│ ├── dom-xss
│ ├── generic
│ ├── randomness
│ ├── react
│ └── redos
├── linters
│ └── all
├── perl
│ └── all
├── php
│ ├── all
│ ├── db_access
│ ├── dynamic_code_execution
│ ├── file_access
│ ├── file_inclusion
│ ├── os_command_execution
│ ├── randomness
│ ├── redos
│ ├── serialization
│ ├── sockets
│ ├── superglobals
│ ├── url_redirection
│ └── xxe
├── python
│ ├── all
│ ├── bypass
│ ├── object_serialization
│ ├── os_command_execution
│ └── string_formatting
├── rust
│ ├── all
│ ├── clone
│ ├── panic-macros
│ ├── randomness
│ ├── resource-exhaustion
│ ├── slices
│ ├── unsafe
│ ├── unwrap
│ └── vectors
├── secrets
│ ├── all
│ ├── api-keys
│ └── public-keys
├── solana
│ └── all
└── solidity
└── all
16 directories, 65 files
Большинство записей в списках слов поступают из моего опыта работы в качестве инженера по безопасности и тестера проникновения. Ссылки на некоторые из этих вариантов можно найти в истории GIT Commit, а также в вопросах GitHub проекта.
Для многих программирования поддерживаемых языков программирования списки поступают из известных хакерских книг, перечисленных ниже. Обратите внимание, что эти книги были опубликованы в 2011 году, поэтому некоторая информация может быть датирована.
