SecLists — это один из важнейших репозиториев для тех, кто работает в AppSec, pentest, bug bounty или просто разбирает поверхность атаки. ➥ https://github.com/danielmiessler/seclists

Сегодня хочу коротко и структурно пройтись по его основным разделам: • что именно там лежит • зачем это нужно • и какие файлы стоит знать

━━━━━━━━━━ Discovery ━━━━━━━━━━

Discovery-фаза — это стартовый этап тестирования, когда сначала нужно понять, что вообще есть у цели: сабдомены, директории, параметры, служебные файлы и другие точки входа.

Из полезного: ➣ ./Discovery/DNS/dns-Jhaddix.txt словарь для поиска сабдоменов

➣ ./Discovery/DNS/combined_subdomains.txt более широкий список поддоменов

➣ ./Discovery/Web-Content/DirBuster-2007_directory-list-2.3-medium.txt список директорий и файлов для content discovery

➣ ./Discovery/Web-Content/Passwords.fuzz.txt набор частых путей и значений для web discovery

➣ ./Discovery/Web-Content/burp-parameter-names.txt словарь имён параметров для поиска скрытых параметров.

━━━━━━━━━━ Fuzzing ━━━━━━━━━━

Fuzzing нужен для проверки того, как приложение ведёт себя на нестандартном вводе: спецсимволах, сломанных форматах, неожиданных значениях и payload’ах.

Из полезного: ➣ ./Fuzzing/JSON.Fuzzing.txt значения для тестирования JSON-парсеров и сериализации

➣ ./Fuzzing/LDAP.Fuzzing.txt строки для LDAP injection и похожих кейсов

➣ ./Fuzzing/big-list-of-naughty-strings.txt большой набор проблемных строк и спецсимволов

➣ ./Fuzzing/command-injection-commix.txt payload’ы для command injection.

━━━━━━━━━━ Passwords и Usernames ━━━━━━━━━━

Этот блок нужен для проверок auth-слоя, password policy, default credentials и типовых credential-based сценариев. Здесь собраны как короткие high-signal списки, так и большие словари для более широких проверок.

Что стоит знать: ➣ ./Passwords/Common-Credentials/10k-most-common.txt 10 тысяч самых частых паролей

➣ ./Passwords/Common-Credentials/10-million-password-list-top-1000.txt короткий список популярных паролей

➣ ./Passwords/Default-Credentials/default-passwords.txt дефолтные пароли для разных систем

➣ ./Usernames/top-usernames-shortlist.txt короткий список популярных usernames

➣ ./Usernames/xato-net-10-million-usernames.txt большой словарь имён пользователей.

━━━━━━━━━━ Pattern-Matching ━━━━━━━━━━

Pattern-Matching нужен не для перебора, а для быстрого поиска интересного в коде, логах, дампах и репозиториях. Здесь лежат строки и паттерны, которые помогают находить ошибки, секреты, чувствительные данные и технологические маркеры

Из полезного: ➣ ./Pattern-Matching/errors.txt сигнатуры verbose errors и диагностических сообщений

➣ ./Pattern-Matching/grepstrings-basic.txt базовые слова для grep по коду и артефактам

➣ ./Pattern-Matching/php-magic-hashes.txt строки для PHP magic hash кейсов

➣ ./Pattern-Matching/strings.txt общий набор строк для быстрого triage.

━━━━━━━━━━ Payloads и Web-Shells ━━━━━━━━━━

Этот блок хранит готовые артефакты для прикладных проверок: тестовые файлы, архивы, payload’ы и web-shell’ы. Shell это скрипт или файл, который после загрузки на сервер даёт удалённое управление

Из полезного: ➣ ./Payloads/Zip-Bombs/ архивы для тестирования тяжёлой распаковки

➣ ./Payloads/Zip-Traversal/ payload’ы для archive traversal

➣ ./Payloads/PHPInfo.zip тестовый архив для upload/PHP-сценариев

➣ ./Web-Shells/PHP/ web-shell’ы для PHP

➣ ./Web-Shells/JSP/ web-shell’ы для Java/JSP

➣ ./Web-Shells/laudanum-1.0/ коллекция web-shell’ов для разных технологий

━━━━━━━━━━ Итог ━━━━━━━━━━

SecLists хорош тем, что держит в одном месте разные типы списков под разные задачи: discovery, fuzzing, credentials, поиск чувствительных строк, payload’ы и shell-артефакты. По сути, это удобная база списков на разные этапы тестирования.

#CyberSecurity #SecLists #AppSec #Pentest #BugBounty #InfoSec