fuzzdb-project/fuzzdb
GitHub: fuzzdb-project/fuzzdb
首个也是最全面的开放攻击载荷字典,为黑盒应用安全测试提供故障注入模式、可预测资源路径及响应匹配正则表达式的分类集合。
Stars: 8897 | Forks: 2114
创建 FuzzDB 的目的是为了增加通过动态应用程序安全测试发现应用程序安全漏洞的可能性。它是首个也是最全面的开放字典,包含了故障注入模式、可预测资源位置以及用于匹配服务器响应的正则表达式。
**攻击模式 -**
FuzzDB 包含了全面的[攻击载荷](https://github.com/fuzzdb-project/fuzzdb/tree/master/attack)原语列表,用于故障注入测试。
这些模式按攻击类型和适用的平台类型进行分类,已知会引发诸如操作系统命令注入、目录列表、目录遍历、源代码暴露、文件上传绕过、身份验证绕过、XSS、HTTP Header CRLF 注入、SQL 注入、NoSQL 注入等问题。例如,FuzzDB 编目了 56 种可能被解释为空字节的模式,并包含了诸如 "get, put, test" 等[常用方法](https://github.com/fuzzdb-project/fuzzdb/blob/master/attack/business-logic/CommonMethodNames.txt)列表,以及可以[触发调试模式](https://github.com/fuzzdb-project/fuzzdb/blob/master/attack/business-logic/CommonDebugParamNames.txt)的键值对。
**发现 -** 标准软件打包分发格式和安装程序的普及,导致诸如[日志文件和管理目录](http://www.owasp.org/index.php/Forced_browsing)等资源通常位于少数[可预测的位置](https://github.com/fuzzdb-project/fuzzdb/tree/master/discovery/predictable-filepaths)。 FuzzDB 包含了一个全面的字典,按平台类型、语言和应用程序进行分类,使暴力破解测试变得更加不那么“暴力”。
https://github.com/fuzzdb-project/fuzzdb/tree/master/discovery **响应分析 -** 许多有趣的服务器响应属于[可预测字符串](https://github.com/fuzzdb-project/fuzzdb/tree/master/regex)。 FuzzDB 包含一组正则表达式模式字典,用于与服务器响应进行匹配。除了常见的服务器错误消息外,FuzzDB 还包含用于匹配信用卡、社会安全号码等信息的正则表达式。
**其他实用内容 -** 不同语言的 Webshell、常见的密码和用户名列表,以及一些实用的字典。 **文档 -** 许多目录中包含提供使用说明的 README.md 文件。 还包含了一系列来自网络的[文档](https://github.com/fuzzdb-project/fuzzdb/tree/master/docs),有助于使用 FuzzDB 构建测试用例。
### 使用 FuzzDB 进行渗透测试的技巧 https://github.com/fuzzdb-project/fuzzdb/wiki/usagehints ### 人们如何使用 FuzzDB FuzzDB 就像一个应用程序安全扫描器,只是没有包含“扫描器”本身。 使用 FuzzDB 的一些方式: * 用于网站和应用程序服务的黑盒渗透测试,结合使用: * [OWASP Zap](https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project) 代理的 FuzzDB Zap 扩展 * Burp Proxy 的 [intruder](http://portswigger.net/intruder/) 工具和扫描器 * [PappyProxy](http://www.pappyproxy.com/),一个基于控制台的拦截代理 * 结合 grep 模式识别有趣的服务响应,如 PII(个人身份信息)、信用卡号、错误消息等 * 在用于测试软件和应用程序协议的自定义工具中使用 * 使用标准测试自动化工具,为 GUI 或命令行软件构建安全测试用例 * 整合到其他开源软件或商业产品中 * 用于培训材料和文档 * 用于学习软件漏洞利用技术 * 用于改进您的安全测试产品或服务 ### 这些模式是如何收集的? 经过无数小时的研究和渗透测试。以及 * 分析默认应用程序安装 * 分析系统和应用程序文档 * 分析错误消息 * 研究旧的 Web 漏洞利用以寻找可重复的攻击字符串 * 从 HTTP 日志中抓取扫描器载荷 * 各种书籍、文章、博客文章、邮件列表话题 * 其他开源 Fuzz 工具和渗透测试工具 以及贡献者的输入:https://github.com/fuzzdb-project/fuzzdb/graphs/contributors ### 可以找到 FuzzDB 的地方 其他全部或部分整合了 FuzzDB 的安全工具和项目 * OWASP Zap Proxy fuzzdb 插件 https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project * SecLists https://github.com/danielmiessler/SecLists * TrustedSec Pentesters Framework https://github.com/trustedsec/ptf * Rapid7 Metasploit https://github.com/rapid7/metasploit-framework * Portswigger Burp Suite http://portswigger.net * Protofuzz https://github.com/trailofbits/protofuzz * BlackArch Linux https://www.blackarch.org/ * ArchStrike Linux https://archstrike.org/ ### 下载 **首选方法是通过 git 克隆源代码,因为会频繁添加新的载荷** ``` git clone https://github.com/fuzzdb-project/fuzzdb.git --depth 1 ``` 在 FuzzDB 目录中,您可以使用以下命令更新本地仓库 ``` git pull ``` 这个 Stackoverflow 帖子提供了一些关于如何保持本地仓库整洁的思路:https://stackoverflow.com/questions/38171899/how-to-reduce-the-depth-of-an-existing-git-clone/46004595#46004595 您也可以浏览 [FuzzDB github 源代码](https://github.com/fuzzdb-project/fuzzdb/),并且总有最新的 [zip 文件](https://github.com/fuzzdb-project/fuzzdb/archive/master.zip) 注意:某些杀毒/反恶意软件会对 FuzzDB 发出警报。要解决此问题,应将相应的文件路径加入白名单。FuzzDB 本身没有任何可能危害您计算机的内容,但是由于存在本地文件包含(Local File Include)攻击的风险,建议不要将此仓库存储在服务器或其他重要系统上。使用风险自负。 ### 作者 FuzzDB 由 Adam Muntner (amuntner @ gmail.com) 创建 FuzzDB (c) 版权所有 Adam Muntner, 2010-2019 部分版权由其他人所有,如提交注释和 README.md 文件中所述。 FuzzDB 的许可协议为 New BSD 和 Creative Commons by Attribution。本项目的最终目标是使其中包含的模式变得过时。如果您在您的工作、研究或商业产品中使用本项目,则需要注明出处。仅此而已。我一直很乐意听到人们如何使用它来发现有趣的漏洞或应用于工具中,请发送电子邮件告诉我。 随时欢迎提交贡献! FuzzDB 官方项目页面:[https://github.com/fuzzdb-project/fuzzdb/](https://github.com/fuzzdb-project/fuzzdb/)
**发现 -** 标准软件打包分发格式和安装程序的普及,导致诸如[日志文件和管理目录](http://www.owasp.org/index.php/Forced_browsing)等资源通常位于少数[可预测的位置](https://github.com/fuzzdb-project/fuzzdb/tree/master/discovery/predictable-filepaths)。 FuzzDB 包含了一个全面的字典,按平台类型、语言和应用程序进行分类,使暴力破解测试变得更加不那么“暴力”。
https://github.com/fuzzdb-project/fuzzdb/tree/master/discovery **响应分析 -** 许多有趣的服务器响应属于[可预测字符串](https://github.com/fuzzdb-project/fuzzdb/tree/master/regex)。 FuzzDB 包含一组正则表达式模式字典,用于与服务器响应进行匹配。除了常见的服务器错误消息外,FuzzDB 还包含用于匹配信用卡、社会安全号码等信息的正则表达式。
**其他实用内容 -** 不同语言的 Webshell、常见的密码和用户名列表,以及一些实用的字典。 **文档 -** 许多目录中包含提供使用说明的 README.md 文件。 还包含了一系列来自网络的[文档](https://github.com/fuzzdb-project/fuzzdb/tree/master/docs),有助于使用 FuzzDB 构建测试用例。
### 使用 FuzzDB 进行渗透测试的技巧 https://github.com/fuzzdb-project/fuzzdb/wiki/usagehints ### 人们如何使用 FuzzDB FuzzDB 就像一个应用程序安全扫描器,只是没有包含“扫描器”本身。 使用 FuzzDB 的一些方式: * 用于网站和应用程序服务的黑盒渗透测试,结合使用: * [OWASP Zap](https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project) 代理的 FuzzDB Zap 扩展 * Burp Proxy 的 [intruder](http://portswigger.net/intruder/) 工具和扫描器 * [PappyProxy](http://www.pappyproxy.com/),一个基于控制台的拦截代理 * 结合 grep 模式识别有趣的服务响应,如 PII(个人身份信息)、信用卡号、错误消息等 * 在用于测试软件和应用程序协议的自定义工具中使用 * 使用标准测试自动化工具,为 GUI 或命令行软件构建安全测试用例 * 整合到其他开源软件或商业产品中 * 用于培训材料和文档 * 用于学习软件漏洞利用技术 * 用于改进您的安全测试产品或服务 ### 这些模式是如何收集的? 经过无数小时的研究和渗透测试。以及 * 分析默认应用程序安装 * 分析系统和应用程序文档 * 分析错误消息 * 研究旧的 Web 漏洞利用以寻找可重复的攻击字符串 * 从 HTTP 日志中抓取扫描器载荷 * 各种书籍、文章、博客文章、邮件列表话题 * 其他开源 Fuzz 工具和渗透测试工具 以及贡献者的输入:https://github.com/fuzzdb-project/fuzzdb/graphs/contributors ### 可以找到 FuzzDB 的地方 其他全部或部分整合了 FuzzDB 的安全工具和项目 * OWASP Zap Proxy fuzzdb 插件 https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project * SecLists https://github.com/danielmiessler/SecLists * TrustedSec Pentesters Framework https://github.com/trustedsec/ptf * Rapid7 Metasploit https://github.com/rapid7/metasploit-framework * Portswigger Burp Suite http://portswigger.net * Protofuzz https://github.com/trailofbits/protofuzz * BlackArch Linux https://www.blackarch.org/ * ArchStrike Linux https://archstrike.org/ ### 下载 **首选方法是通过 git 克隆源代码,因为会频繁添加新的载荷** ``` git clone https://github.com/fuzzdb-project/fuzzdb.git --depth 1 ``` 在 FuzzDB 目录中,您可以使用以下命令更新本地仓库 ``` git pull ``` 这个 Stackoverflow 帖子提供了一些关于如何保持本地仓库整洁的思路:https://stackoverflow.com/questions/38171899/how-to-reduce-the-depth-of-an-existing-git-clone/46004595#46004595 您也可以浏览 [FuzzDB github 源代码](https://github.com/fuzzdb-project/fuzzdb/),并且总有最新的 [zip 文件](https://github.com/fuzzdb-project/fuzzdb/archive/master.zip) 注意:某些杀毒/反恶意软件会对 FuzzDB 发出警报。要解决此问题,应将相应的文件路径加入白名单。FuzzDB 本身没有任何可能危害您计算机的内容,但是由于存在本地文件包含(Local File Include)攻击的风险,建议不要将此仓库存储在服务器或其他重要系统上。使用风险自负。 ### 作者 FuzzDB 由 Adam Muntner (amuntner @ gmail.com) 创建 FuzzDB (c) 版权所有 Adam Muntner, 2010-2019 部分版权由其他人所有,如提交注释和 README.md 文件中所述。 FuzzDB 的许可协议为 New BSD 和 Creative Commons by Attribution。本项目的最终目标是使其中包含的模式变得过时。如果您在您的工作、研究或商业产品中使用本项目,则需要注明出处。仅此而已。我一直很乐意听到人们如何使用它来发现有趣的漏洞或应用于工具中,请发送电子邮件告诉我。 随时欢迎提交贡献! FuzzDB 官方项目页面:[https://github.com/fuzzdb-project/fuzzdb/](https://github.com/fuzzdb-project/fuzzdb/)
标签:CISA项目, DAST, ffuf, FuzzDB, NoSQL注入, Web安全, XSS, XXE攻击, 动态应用安全测试, 命令注入, 响应分析, 安全字典, 安全测试, 强制浏览, 恶意软件分析, 攻击性安全, 攻击模式, 数据展示, 有效载荷字典, 注入攻击, 漏洞情报, 红队, 蓝队分析, 资源发现, 身份验证绕过, 黑盒测试