Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

Le mie wordlist preferite

Le mie wordlist preferite Photo by Noémi Macavei-Katócz on Unsplash
444 parole - Lo leggerai in 2 minuti

Quando facciamo un pentest su un’applicazione web abbiamo bisogno di enumerare file e directory, alla ricerca di possibili porzioni del sito dimenticate, file di backup o qualsiasi cosa ci possa dare una via per entrare.

Per fare una buona enumerazione del nostro obiettivo, abbiamo bisogno di wordlist e queste sono le mie 3 fonti preferite.

Premessa: so bene nelle distribuzioni Linux già pronte per il pentest avete già tutto quello che vi serve. Sto però pensando ad crearmi un’immagine con l’essenziale di quello che uso più spesso, partendo da una distribuzione minimale. Sinceramente è una cosa che vi consiglio.

SecLists

SecLists è la prima wordlist che ho utilizzato. Contiene username, password, url, file e tutto quello che può essere dato in pasto al vostro fuzzer.

Il progetto è ancora mantenuto e l’installazione molto semplice:

wget -c https://github.com/danielmiessler/SecLists/archive/master.zip -O SecList.zip \
  && unzip SecList.zip \
  && rm -f SecList.zip

Se invece, come consiglio, si vuole avere più facilità di aggiornamento, conviene clonare il repository:

git clone https://github.com/danielmiessler/SecLists.git

PayloadsAllTheThings

PayloadsAllTheThings non è propriamente una wordlist per fare fuzzing durante l’enumeration, ma più un elenco esaustivo di payload appunto che possono essere usati per la ricerca di xss o sql injection.

Il materiale è corposo e può essere usato come fonte di studio e ripasso mentre si sta conducendo un assessment.

Attivamente sviluppato, il modo per averlo sul vostro sistema è quello di clonare il repository:

git clone https://github.com/swisskyrepo/PayloadsAllTheThings.git

FuzzDB

FuzzDB probabilmente lo usate già perché incorporato in un sacco di tool come Owasp ZAP e Burp. Questo repository contiene wordlist per fare enumeration.

Ultimamente ho avuto la necessità di crearmi uno script custom per fare fuzzing e questo repository è stata la classica manna dal cielo.

Da installare con un git clone:

git clone https://github.com/fuzzdb-project/fuzzdb.git

Assetnote Wordlists

Le wordlist di Assetnote le ho appena scoperte e non le ho ancora utilizzate in un’attività reale. Tuttavia sono aggiornate mensilmente dal team di Assetnote e si tratta di una mole di dati impressionante.

Vi invito veramente ad andare sul loro sito e scegliere la wordlist a seconda della tecnologia alla base del sito che state testando.

Off by one

Conoscere le wordlist che sono sul vostro sistema ed eventualmente integrarle con delle fonti dati aggiuntive, vi permette di avere più controllo sulla fase di recon dei vostri assessment.

Avere il controllo di quello che state facendo è l’unico modo per avere un deliverable di qualità e soprattutto per trovare il modo di bucare un’applicazione con successo.

Enjoy it!

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list