Le mie wordlist preferite
Photo by Noémi Macavei-Katócz on Unsplash
Quando facciamo un pentest su un’applicazione web abbiamo bisogno di enumerare file e directory, alla ricerca di possibili porzioni del sito dimenticate, file di backup o qualsiasi cosa ci possa dare una via per entrare.
Per fare una buona enumerazione del nostro obiettivo, abbiamo bisogno di wordlist e queste sono le mie 3 fonti preferite.
Premessa: so bene nelle distribuzioni Linux già pronte per il pentest avete già tutto quello che vi serve. Sto però pensando ad crearmi un’immagine con l’essenziale di quello che uso più spesso, partendo da una distribuzione minimale. Sinceramente è una cosa che vi consiglio.
SecLists
SecLists è la prima wordlist che ho utilizzato. Contiene username, password, url, file e tutto quello che può essere dato in pasto al vostro fuzzer.
Il progetto è ancora mantenuto e l’installazione molto semplice:
wget -c https://github.com/danielmiessler/SecLists/archive/master.zip -O SecList.zip \
&& unzip SecList.zip \
&& rm -f SecList.zipSe invece, come consiglio, si vuole avere più facilità di aggiornamento, conviene clonare il repository:
git clone https://github.com/danielmiessler/SecLists.gitPayloadsAllTheThings
PayloadsAllTheThings non è propriamente una wordlist per fare fuzzing durante l’enumeration, ma più un elenco esaustivo di payload appunto che possono essere usati per la ricerca di xss o sql injection.
Il materiale è corposo e può essere usato come fonte di studio e ripasso mentre si sta conducendo un assessment.
Attivamente sviluppato, il modo per averlo sul vostro sistema è quello di clonare il repository:
git clone https://github.com/swisskyrepo/PayloadsAllTheThings.gitFuzzDB
FuzzDB probabilmente lo usate già perché incorporato in un sacco di tool come Owasp ZAP e Burp. Questo repository contiene wordlist per fare enumeration.
Ultimamente ho avuto la necessità di crearmi uno script custom per fare fuzzing e questo repository è stata la classica manna dal cielo.
Da installare con un git clone:
git clone https://github.com/fuzzdb-project/fuzzdb.gitAssetnote Wordlists
Le wordlist di Assetnote le ho appena scoperte e non le ho ancora utilizzate in un’attività reale. Tuttavia sono aggiornate mensilmente dal team di Assetnote e si tratta di una mole di dati impressionante.
Vi invito veramente ad andare sul loro sito e scegliere la wordlist a seconda della tecnologia alla base del sito che state testando.
Off by one
Conoscere le wordlist che sono sul vostro sistema ed eventualmente integrarle con delle fonti dati aggiuntive, vi permette di avere più controllo sulla fase di recon dei vostri assessment.
Avere il controllo di quello che state facendo è l’unico modo per avere un deliverable di qualità e soprattutto per trovare il modo di bucare un’applicazione con successo.
Enjoy it!
Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.
Supporta il progettoSimili a "Le mie wordlist preferite"
Se questo post ti è piaciuto, sono abbastanza sicuro che troverai questi contenuti altrettanto interessanti. Buona lettura.
GCC, analisi statica e warning mancanti
Eh già… in questi mesi ho dato anima e corpo al canale YouTube ed ho trascurato un po’ il mio blog. Questa però è una delle cose che voglio prima raccontare qui, nella mia versione digitale di un Bullet Journal.
Continua la lettura
Caro diario eccoci qui…
O mamma, è da maggio che non scrivo neanche un post. Vi starete chiedendo se il blog sia ancora attivo… ecco, sì e no.
Continua la lettura
Cosa fa un security engineer in SUSE?
Cosa vuol dire essere un product security engineer in SUSE? È facile lavorare completamente da remoto? Ecco com'è cambiata la mia vita da qualche mese...
Continua la lettura
Non perdere neanche un post, iscriviti ora alla mailing list