scary strings
1.0.0
從安全性的角度來看,源代碼中有可能危險的API呼叫,又稱包含可怕字符串的線路!
該存儲庫包含與安全審計相關的字符串列表(通常是功能名稱),通常是因為它們執行敏感操作,例如更改數據庫的狀態或訪問文件系統。
除了特定於技術的文字列表外, comments夾還包含可能與源代碼中剩下的開發人員註釋有關的字符串。
搜索這些字符串並為黑客攻擊。也許您可以發現數據庫正在修改的位置,並返回尋找SQL注入。也許“待辦事項”消息揭示了開發人員未解決的錯誤。可能性是無限的。通過跳到應用程序的危險部分來節省自己的時間和重複的壓力傷害。這個詞列表的集合將向您展示死亡之星上所有的熱排氣口,因此您不必探索整個過程。
掃描這些字符串是提高應用程序安全性的好方法。通常,根據您使用的語言,有良好的實踐和模式可以安全地做事。如果您可以驗證此類函數呼叫是否安全處理,那就太好了!您的應用程序比開始時更安全。
wordlists
├── blockchain
│ └── all
├── comments
│ ├── all
│ ├── derogatory
│ ├── security
│ └── todo
├── cosmossdk
│ ├── abci
│ ├── module-auth
│ ├── module-authz
│ ├── module-bank
│ ├── module-group
│ └── module-staking
├── cryptography
│ └── all
├── go
│ ├── all
│ ├── cryptography
│ ├── db-access
│ ├── deprecated
│ ├── err
│ ├── randomness
│ └── unsafe
├── java
│ ├── db_access
│ ├── file_access
│ ├── file_inclusion
│ ├── os_command_execution
│ └── url_redirect
├── javascript
│ ├── all
│ ├── deprecated
│ ├── dom-xss
│ ├── generic
│ ├── randomness
│ ├── react
│ └── redos
├── linters
│ └── all
├── perl
│ └── all
├── php
│ ├── all
│ ├── db_access
│ ├── dynamic_code_execution
│ ├── file_access
│ ├── file_inclusion
│ ├── os_command_execution
│ ├── randomness
│ ├── redos
│ ├── serialization
│ ├── sockets
│ ├── superglobals
│ ├── url_redirection
│ └── xxe
├── python
│ ├── all
│ ├── bypass
│ ├── object_serialization
│ ├── os_command_execution
│ └── string_formatting
├── rust
│ ├── all
│ ├── clone
│ ├── panic-macros
│ ├── randomness
│ ├── resource-exhaustion
│ ├── slices
│ ├── unsafe
│ ├── unwrap
│ └── vectors
├── secrets
│ ├── all
│ ├── api-keys
│ └── public-keys
├── solana
│ └── all
└── solidity
└── all
16 directories, 65 files
單詞列表中的大多數條目都來自我作為安全工程師和穿透測試師的工作經驗。這些選擇中的某些選擇可以在GIT犯罪歷史以及項目的GitHub問題中找到。
對於支持的編程語言的許多編程,列表來自下面列出的著名黑客書籍。請注意,這些書籍是在2011年出版的,因此可能會介紹其中一些信息。
