HackerSecret.it - Il Sito Italiano Più Autorevole sul Mondo dell'Hacking, del Penetration Testing e della CyberSecurity

  • Home
  • Visita il Nostro Shop
  • Scarica l’App gratuita
  • Contattaci per Info
VISITA IL NOSTRO SHOP ! CLICCA QUI !

Le mie wordlist preferite

da Lo Staff di HackerSecret.it / venerdì, 01 Gennaio 2021 / Pubblicato il Hacking
Share
Tweet
Pin

Quando facciamo un pentest su un’applicazione web abbiamo bisogno di enumerare file e directory, alla ricerca di possibili porzioni del sito dimenticate, file di backup o qualsiasi cosa ci possa dare una via per entrare.

Per fare una buona enumerazione del nostro obiettivo, abbiamo bisogno di wordlist e queste sono le mie 3 fonti preferite.

Premessa: so bene nelle distribuzioni Linux già pronte per il pentest avete già tutto quello che vi serve. Sto però pensando ad crearmi un’immagine con l’essenziale di quello che uso più spesso, partendo da una distribuzione minimale. Sinceramente è una cosa che vi consiglio.

SecLists

SecLists è la prima wordlist che ho utilizzato. Contiene username, password, url, file e tutto quello che può essere dato in pasto al vostro fuzzer.

Il progetto è ancora mantenuto e l’installazione molto semplice:

wget -c https://github.com/danielmiessler/SecLists/archive/master.zip -O SecList.zip \   && unzip SecList.zip \   && rm -f SecList.zip

Se invece, come consiglio, si vuole avere più facilità di aggiornamento, conviene clonare il repository:

git clone https://github.com/danielmiessler/SecLists.git

PayloadsAllTheThings

PayloadsAllTheThings non è propriamente una wordlist per fare fuzzing durante l’enumeration, ma più un elenco esaustivo di payload appunto che possono essere usati per la ricerca di xss o sql injection.

Il materiale è corposo e può essere usato come fonte di studio e ripasso mentre si sta conducendo un assessment.

Attivamente sviluppato, il modo per averlo sul vostro sistema è quello di clonare il repository:

git clone https://github.com/swisskyrepo/PayloadsAllTheThings.git

FuzzDB

FuzzDB probabilmente lo usate già perché incorporato in un sacco di tool come Owasp ZAP e Burp. Questo repository contiene wordlist per fare enumeration.

Ultimamente ho avuto la necessità di crearmi uno script custom per fare fuzzing e questo repository è stata la classica manna dal cielo.

Da installare con un git clone:

git clone https://github.com/fuzzdb-project/fuzzdb.git

Assetnote Wordlists

Le wordlist di Assetnote le ho appena scoperte e non le ho ancora utilizzate in un’attività reale. Tuttavia sono aggiornate mensilmente dal team di Assetnote e si tratta di una mole di dati impressionante.

Vi invito veramente ad andare sul loro sito e scegliere la wordlist a seconda della tecnologia alla base del sito che state testando.

Off by one

Conoscere le wordlist che sono sul vostro sistema ed eventualmente integrarle con delle fonti dati aggiuntive, vi permette di avere più controllo sulla fase di recon dei vostri assessment.

Avere il controllo di quello che state facendo è l’unico modo per avere un deliverable di qualità e soprattutto per trovare il modo di bucare un’applicazione con successo.

Enjoy it!

Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.

Share
Tweet
Pin
Taggato in: preferite, wordlist

Cerca nel Sito

Dicono di Noi

Francesca M. – Sistemista

Share
Tweet
Pin
 
Samuel D. – Hacker Etico

Share
Tweet
Pin
 
Carola M. – Influencer

Share
Tweet
Pin
 
Renato P. – Investigatore Privato

Share
Tweet
Pin
 
Rosaria S. – Casalinga

Share
Tweet
Pin
 
Paolo V. – Consulente Informatico

Share
Tweet
Pin
 
Matteo C. – Imprenditore

Share
Tweet
Pin
 
Alice B. – Studentessa di Informatica

Share
Tweet
Pin
 
Goffredo B. – Analista IT

Share
Tweet
Pin
 
Roberto C. – Programmatore

Share
Tweet
Pin
 

Clicca subito qui per visitare il nostro Shop!

Clicca subito qui per visitare il nostro Shop!

Altri 2300 utenti come te lo hanno già fatto quest'anno!

SCARICATA 1316 VOLTE!

SCARICATA 1316 VOLTE!

Scarica subito Hacker Secret la nostra app Android gratuita.

Contattaci Subito per un Supporto Immediato!

Contact Us
Scrivi il tuo indirizzo email qui
Scrivi qui come possiamo aiutarti - ti supportiamo immediatamente per ogni tua esigenza!

Gli ultimi articoli

  • sos-waveform

  • ICTSS 2020: the 32nd IFIP International Conference on Testing Software and Systems | 9 e 10 dicembre 2020

  • E tu di che tecnologia ti fai?

  • Port scanning e enumeration in WordPress con Nmap

  • Hacking democracy? Hacker russi, Wikileaks, propaganda, elezioni americane – Hacking democracy? Wikileaks, Russian hackers, US elections #ijf17

## Stai cercando prodotti per l’hacking, la sicurezza informatica e il penetration testing? Hai bisogno di bonificare il tuo smartphone, il tuo pc o il tuo sito da virus e malware? Devi rintracciare una persona o recuperare delle informazioni urgenti? Devi riprendere possesso di un account, una mail o di una password che ti hanno sottratto? Vuoi acquistare device già configurati per sperimentare tutte le tecniche di hacking in modo facile e veloce? Hai esigenze particolari in ambito software o hardware? ##

Contattaci subito…altri 2300 utenti come te lo hanno già fatto quest’anno!

Clicca subito qui!

Tutte le tecniche, i prodotti e i servizi descritti o contenuti in questo sito si intendono per uso esclusivo di studio e di aggiornamento professionale e per testare la sicurezza della propria rete informatica in accordo alle vigenti normative sull'accesso a sistemi informativi e telematici (cfr. art. 615 ter c.p. e successive modifiche).

TORNA SU
Nuovo Ordine!