周末看下freebuf,发现一个不错的Payload测试字典,结合intruder ,哈哈哈,好好扩充下
一、fuzzdb是恶意输入的最全面的开源数据库,可预测的资源名称的字符串,grepable服务器响应消息,和其他资源,如Web壳。一个应用程序安全扫描程序。
FuzzDB有什么? 一些例子: 可预测的资源的位置,因为少量的服务器类型,平台的普及,和封装格式,如日志文件和行政资源目录通常位于一个小数量的可预测的位置。fuzzdb包含一个全面的数据库,按平台类型,语言,和应用,使蛮力测试的粗野。(https://github.com/fuzzdb-project/fuzzdb/tree/master/discovery/predictable-filepaths) 攻击模式分类的平台,语言,和攻击型,恶意和畸形的输入会导致信息泄漏和利用已收集到的测试用例集。fuzzdb包含攻击的有效载荷引起的像操作系统命令注入,问题综合列出目录清单,目录遍历,暴露源,文件上传的旁路,旁路认证,HTTP标头CRLF注射,和更多。(https://github.com/fuzzdb-project/fuzzdb/tree/master/attack) 由于系统响应分析的反应也包含可预见的字符串,fuzzdb包含一组正则表达式模式字典等有趣的错误信息来辅助检测软件安全缺陷,常见的会话ID的cookie名称列表,和更多。(https://github.com/fuzzdb-project/fuzzdb/wiki/regexerrors) 其他有用的东西- Webshells,常见的用户名和密码列表,和一些简单的单词表。(https://github.com/fuzzdb-project/fuzzdb/tree/master/web-backdoors)等等 文件的帮助文件和备忘单源是来自载荷类别相关的网站还提供。许多目录包含与使用说明readme.md文件。(https://github.com/fuzzdb-project/fuzzdb/tree/master/docs)
https://github.com/fuzzdb-project/fuzzdb
总结一句话;burp is your mother
时间: 2024-11-03 14:04:18