FuzzDB был создан для повышения вероятности обнаружения уязвимостей посредством динамического тестирования безопасности приложений. Это первый и наиболее полный открытый словарь шаблонов внедрения ошибок, предсказуемых местоположений ресурсов и регулярных выражений для сопоставления ответов сервера.
Шаблоны атак. FuzzDB содержит полные списки примитивов полезной нагрузки атаки для тестирования внедрения ошибок. Известно, что эти шаблоны, классифицированные по атакам и, где это применимо, по типу платформы, вызывают такие проблемы, как внедрение команд ОС, списки каталогов, обход каталогов, раскрытие источника, обход загрузки файлов, обход аутентификации, XSS, внедрение crlf заголовка HTTP, внедрение SQL, внедрение NoSQL. , и более. Например, FuzzDB каталогизирует 56 шаблонов, которые потенциально можно интерпретировать как нулевой байт, и содержит списки часто используемых методов, таких как «получить, поместить, проверить» и пары имя-значение, которые запускают режимы отладки .
Обнаружение. Популярность стандартных форматов распространения пакетов программного обеспечения и установщиков привела к тому, что такие ресурсы, как файлы журналов и административные каталоги, часто располагались в небольшом количестве предсказуемых мест . FuzzDB содержит обширный словарь, отсортированный по типу платформы, языку и приложению, что делает тестирование методом перебора менее жестоким.
https://github.com/fuzzdb-project/fuzzdb/tree/master/discovery
Анализ ответов. Многие интересные ответы сервера представляют собой предсказуемые строки . FuzzDB содержит набор словарей шаблонов регулярных выражений для сопоставления с ответами сервера. Помимо распространенных сообщений об ошибках сервера, FuzzDB содержит регулярные выражения для кредитных карт, номеров социального страхования и т. д.
Другие полезные вещи — веб-шеллы на разных языках, общие списки паролей и имен пользователей, а также несколько удобных списков слов.
Документация. Многие каталоги содержат файл README.md с примечаниями по использованию. Также включен сборник документации из Интернета, которая поможет использовать FuzzDB для создания тестовых примеров.
https://github.com/fuzzdb-project/fuzzdb