scary strings
1.0.0
从安全性的角度来看,源代码中有可能危险的API呼叫,又称包含可怕字符串的线路!
该存储库包含与安全审计相关的字符串列表(通常是功能名称),通常是因为它们执行敏感操作,例如更改数据库的状态或访问文件系统。
除了特定于技术的文字列表外, comments夹还包含可能与源代码中剩下的开发人员注释有关的字符串。
搜索这些字符串并为黑客攻击。也许您可以发现数据库正在修改的位置,并返回寻找SQL注入。也许“待办事项”消息揭示了开发人员未解决的错误。可能性是无限的。通过跳到应用程序的危险部分来节省自己的时间和重复的压力伤害。这个词列表的集合将向您展示死亡之星上所有的热排气口,因此您不必探索整个过程。
扫描这些字符串是提高应用程序安全性的好方法。通常,根据您使用的语言,有良好的实践和模式可以安全地做事。如果您可以验证此类函数呼叫是否安全处理,那就太好了!您的应用程序比开始时更安全。
wordlists
├── blockchain
│ └── all
├── comments
│ ├── all
│ ├── derogatory
│ ├── security
│ └── todo
├── cosmossdk
│ ├── abci
│ ├── module-auth
│ ├── module-authz
│ ├── module-bank
│ ├── module-group
│ └── module-staking
├── cryptography
│ └── all
├── go
│ ├── all
│ ├── cryptography
│ ├── db-access
│ ├── deprecated
│ ├── err
│ ├── randomness
│ └── unsafe
├── java
│ ├── db_access
│ ├── file_access
│ ├── file_inclusion
│ ├── os_command_execution
│ └── url_redirect
├── javascript
│ ├── all
│ ├── deprecated
│ ├── dom-xss
│ ├── generic
│ ├── randomness
│ ├── react
│ └── redos
├── linters
│ └── all
├── perl
│ └── all
├── php
│ ├── all
│ ├── db_access
│ ├── dynamic_code_execution
│ ├── file_access
│ ├── file_inclusion
│ ├── os_command_execution
│ ├── randomness
│ ├── redos
│ ├── serialization
│ ├── sockets
│ ├── superglobals
│ ├── url_redirection
│ └── xxe
├── python
│ ├── all
│ ├── bypass
│ ├── object_serialization
│ ├── os_command_execution
│ └── string_formatting
├── rust
│ ├── all
│ ├── clone
│ ├── panic-macros
│ ├── randomness
│ ├── resource-exhaustion
│ ├── slices
│ ├── unsafe
│ ├── unwrap
│ └── vectors
├── secrets
│ ├── all
│ ├── api-keys
│ └── public-keys
├── solana
│ └── all
└── solidity
└── all
16 directories, 65 files
单词列表中的大多数条目都来自我作为安全工程师和穿透测试师的工作经验。这些选择中的某些选择可以在GIT犯罪历史以及项目的GitHub问题中找到。
对于支持的编程语言的许多编程,列表来自下面列出的著名黑客书籍。请注意,这些书籍是在2011年出版的,因此可能会介绍其中一些信息。
