Le mie wordlist preferite

Quando facciamo un pentest su un’applicazione web abbiamo bisogno di enumerare file e directory, alla ricerca di possibili porzioni del sito dimenticate, file di backup o qualsiasi cosa ci possa dare una via per entrare.

Per fare una buona enumerazione del nostro obiettivo, abbiamo bisogno di wordlist e queste sono le mie 3 fonti preferite.

Premessa: so bene nelle distribuzioni Linux già pronte per il pentest avete già tutto quello che vi serve. Sto però pensando ad crearmi un’immagine con l’essenziale di quello che uso più spesso, partendo da una distribuzione minimale. Sinceramente è una cosa che vi consiglio.

SecLists

SecLists è la prima wordlist che ho utilizzato. Contiene username, password, url, file e tutto quello che può essere dato in pasto al vostro fuzzer.

Il progetto è ancora mantenuto e l’installazione molto semplice:

wget -c https://github.com/danielmiessler/SecLists/archive/master.zip -O SecList.zip \   && unzip SecList.zip \   && rm -f SecList.zip

Se invece, come consiglio, si vuole avere più facilità di aggiornamento, conviene clonare il repository:

git clone https://github.com/danielmiessler/SecLists.git

PayloadsAllTheThings

PayloadsAllTheThings non è propriamente una wordlist per fare fuzzing durante l’enumeration, ma più un elenco esaustivo di payload appunto che possono essere usati per la ricerca di xss o sql injection.

Il materiale è corposo e può essere usato come fonte di studio e ripasso mentre si sta conducendo un assessment.

Attivamente sviluppato, il modo per averlo sul vostro sistema è quello di clonare il repository:

git clone https://github.com/swisskyrepo/PayloadsAllTheThings.git

FuzzDB

FuzzDB probabilmente lo usate già perché incorporato in un sacco di tool come Owasp ZAP e Burp. Questo repository contiene wordlist per fare enumeration.

Ultimamente ho avuto la necessità di crearmi uno script custom per fare fuzzing e questo repository è stata la classica manna dal cielo.

Da installare con un git clone:

git clone https://github.com/fuzzdb-project/fuzzdb.git

Assetnote Wordlists

Le wordlist di Assetnote le ho appena scoperte e non le ho ancora utilizzate in un’attività reale. Tuttavia sono aggiornate mensilmente dal team di Assetnote e si tratta di una mole di dati impressionante.

Vi invito veramente ad andare sul loro sito e scegliere la wordlist a seconda della tecnologia alla base del sito che state testando.

Off by one

Conoscere le wordlist che sono sul vostro sistema ed eventualmente integrarle con delle fonti dati aggiuntive, vi permette di avere più controllo sulla fase di recon dei vostri assessment.

Avere il controllo di quello che state facendo è l’unico modo per avere un deliverable di qualità e soprattutto per trovare il modo di bucare un’applicazione con successo.

Enjoy it!

Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.

STAI CERCANDO PRODOTTI PER L’HACKING, LA SICUREZZA INFORMATICA E IL PENETRATION TESTING? HAI BISOGNO DI BONIFICARE IL TUO SMARTPHONE, IL TUO PC O IL TUO SITO DA VIRUS E MALWARE? DEVI RINTRACCIARE UNA PERSONA O RECUPERARE DELLE INFORMAZIONI URGENTI? DEVI RIPRENDERE POSSESSO DI UN ACCOUNT, UNA MAIL O DI UNA PASSWORD CHE TI HANNO SOTTRATTO? VUOI ACQUISTARE DEVICE GIÀ CONFIGURATI PER SPERIMENTARE TUTTE LE TECNICHE DI HACKING IN MODO FACILE E VELOCE? HAI ESIGENZE PARTICOLARI IN AMBITO SOFTWARE O HARDWARE?POSSIAMO AIUTARTI  ! CLICCA SUBITO SUL BOTTONE ROSSO QUI SOTTO OPPURE CONTATTACI TRAMITE WHATSAPP O COMPILANDO E INVIANDO IL MODULO SOTTOSTANTE.

chevron_left
chevron_right

Disclaimer : Tutte le tecniche, i prodotti e i servizi presenti o descritti su questo sito si intendono a scopo puramente informativo, di studio o di aggiornamento professionale e per testare esclusivamente la sicurezza e la funzionalità della propria rete informatica o degli account di cui si è legittimi proprietari o per i quali si dispone l'autorizzazione ad attività di hardening o di penetration testing da parte dei legittimi titolari in accordo alle vigenti normative sull'accesso a sistemi informatici e telematici (cfr. art. 615 ter c.p. e successive modifiche). HackerSecret declina ogni responsabilità per ogni ulteriore utilizzo al di fuori di tale ambito che è di esclusiva resposabilità individuale ai sensi delle vigenti leggi e per eventuali danni o problematiche causate dall'utilizzo delle tecniche, dei prodotti o dei servizi presenti o descritti nel sito ai propri sistemi o apparati informatici o per la perdita di dati sensibili e non conseguente all'utilizzo di tali tecniche, prodotti o servizi.