文章总结: Web-Fuzzing-Box是一个专注于Web安全测试的开源模糊测试字典与Payload集合项目。它由安全研究员gh0stkey维护,旨在为渗透测试人员、安全研究人员和漏洞赏金猎人提供一套全面、分类清晰的测试字典库。该项目涵盖了从暴力破解、目录枚举到各类Web漏洞(如SQL注入、XSS、文件上传等)测试所需的各种字典和Payload,能够显著提升安全测试的效率和覆盖率。使用时需注意,务必在拥有明确书面授权的前提下进行安全测试,并谨慎使用具有破坏性的Payload,避免对生产环境造成影响。 综合评分: 85 文章分类: 渗透测试,WEB安全,安全工具,代码审计,红队
Web-Fuzzing-Box 模糊测试字典库
柠檬赏金猎人
2026年3月20日 07:40 广东
概述
Web-Fuzzing-Box 是一个专注于Web安全测试的开源模糊测试字典与Payload集合项目。它由安全研究员gh0stkey维护,旨在为渗透测试人员、安全研究人员和漏洞赏金猎人提供一套全面、分类清晰的测试字典库。该项目涵盖了从暴力破解、目录枚举到各类Web漏洞(如SQL注入、XSS、文件上传等)测试所需的各种字典和Payload,能够显著提升安全测试的效率和覆盖率。
技术/功能
Web-Fuzzing-Box 按照功能模块进行了清晰的目录划分,主要包含以下五大类:
| 类别 | 主要包含内容 | 用途描述 | | — | — | — | | Brute (暴力破解) | 应用服务字典、用户名/密码字典、子域名字典、端口字典、安全产品指纹等。 | 用于对登录接口、服务端口、子域名等进行暴力猜解或枚举。 | | Dir (目录/文件枚举) | 通用目录/文件字典、BurpSuite专用字典、历史漏洞相关目录(如乌云)、御剑字典等。 | 用于探测Web服务器上隐藏的目录、文件、API接口等资源。 | | Vuln (漏洞利用) | SQL注入、XSS、文件包含、目录遍历、文件上传、逻辑漏洞、JSONP劫持、开放重定向等Payload。 | 用于检测和验证特定的Web应用程序漏洞。 | | Web (Web测试) | HTTP方法、请求头、函数名、JavaScript文件名、本地地址、参数名等字典。 | 用于辅助Web应用信息收集和参数模糊测试。 | | Other (其他) | 通用词汇、中国手机号段等补充性字典。 | 提供一些辅助性的测试数据。 |
使用示例
以下是一个结合常用工具使用Web-Fuzzing-Box字典进行目录爆破的示例。
场景:对目标 http://example.com 进行目录和文件枚举。
工具:ffuf (一个快速的Web模糊测试工具)
步骤:
- 克隆仓库:首先获取字典库。
git clone https://github.com/gh0stkey/Web-Fuzzing-Box.git
cd Web-Fuzzing-Box
- 选择字典:根据目标特点选择合适的字典。例如,使用
Dir目录下的通用字典。 - 执行模糊测试:使用
ffuf进行目录爆破。
# 基本目录爆破
ffuf -u http://example.com/FUZZ -w Dir/Others/2W_Directory.txt -t 50
# 同时爆破文件和目录(使用不同的字典)
ffuf -u http://example.com/FUZZ -w Dir/Others/2W_Files.txt:FILE,Dir/Others/2W_Directory.txt:DIR -t 50 -H "User-Agent: Mozilla/5.0"
# 针对API接口进行探测
ffuf -u http://example.com/api/v1/FUZZ -w Dir/Others/Api_Params.txt -t 50 -mc 200,403
-u: 指定目标URL,FUZZ是关键字占位符。-w: 指定字典文件路径。-t: 设置并发线程数。-H: 添加HTTP请求头。-mc: 匹配指定的HTTP状态码(如200成功,403禁止访问)。
另一个示例:测试SQL注入点
假设发现一个参数 id,可以使用Vuln目录下的SQL注入字典进行测试。
# 使用一个简单的SQL注入Payload列表进行测试 (例如使用sqlmap配合自定义字典)
# 首先将Payload保存到文件
cat Vuln/Sql_Injection/SQL_Injection.txt > custom_sqli.txt
# 然后可以使用sqlmap的 `-p` 指定参数,并用 `--tamper` 和自定义脚本(如果需要)结合字典进行测试
# 注意:这是一个高级用法示例,实际中可能需要根据字典内容编写相应的测试逻辑。
注意事项
- 合法授权:务必仅在拥有明确书面授权的前提下,对目标系统进行安全测试。未经授权的测试是非法行为。
- 谨慎使用:部分Payload(如XML Bomb、DoS相关字典)具有破坏性,使用时需格外小心,避免对生产环境造成影响。
- 字典优化:该字典库非常全面,但也意味着体积较大。在实际测试中,建议根据目标环境(如开发语言、中间件)选择合适的子集,以提高测试效率。
- 结果验证:自动化工具和字典返回的结果可能存在误报(如403状态码可能是正常防护),需要人工进行二次验证和判断。
- 持续更新:Web技术不断变化,建议定期从原仓库拉取更新,以获取最新的测试字典。
参考链接
- Web-Fuzzing-Box 项目主页:https://github.com/gh0stkey/Web-Fuzzing-Box
- 作者实战案例分享(中文):https://gh0st.cn/archives/2019-11-11/1
- 相关项目 CaA (Commands and Assets):https://github.com/gh0stkey/CaA
仅限交流学习使用,如您在使用本工具或代码的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。“如侵权请私聊公众号删文”。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:柠檬赏金猎人 《Web-Fuzzing-Box 模糊测试字典库》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论