Security-Wordlists

Gängige Datei- und Verzeichnisnamen, die typischerweise aus geleakten macOS-.DS_Store-Dateien extrahiert werden. Nützlich als Ausgangsliste für die Content-Discovery bei Websites, die möglicherweise .DS_Store-Metadaten offengelegt haben.

Eindeutige Klartext-Passwörter aus dem 000webhost-Breach von 2015, ein realer Datensatz, der moderne Passwortwahl von Nutzern widerspiegelt.

Leetspeak-Permutationen gängiger Grundwörter (z. B. apple -> app|3). Nützlich zum Cracken von Passwörtern, die Buchstaben durch Symbole/Ziffern ersetzen.

Die 200 meistgenutzten Passwörter des Jahres 2020, wie in den jährlichen Breach-Analysen veröffentlicht. Eine winzige, ertragreiche Liste für schnelles Credential-Spraying.

Die klassische Liste der 500 schlechtesten Passwörter. Winzig und ideal für schnelle Online-Brute-Force-Prüfungen gegen Anmeldedienste.

Pfade von Adobe Experience Manager (AEM) / CQ sowie Dispatcher-Bypass-URLs zum Enumerieren von AEM-Instanzen und Content-Knoten.

ColdFusion-CFIDE-Administrator- und Komponenten-Endpunktpfade zum Fingerprinting und Sondieren von Adobe-ColdFusion-Installationen.

Administrative und Komponenten-Pfade von Adobe ColdFusion (CFIDE, cfdocs, administrator, BlazeDS) zum Fingerprinting und Sondieren von ColdFusion-Installationen.

Standardpfade von Beispielanwendungen und WEB-INF, die durch Adobe-JRun-/Java-Servlet-Runner-Deployments exponiert werden, zum Server-Fingerprinting.

Passwörter aus dem 2014er-Dump von rund 5 Millionen angeblichen Gmail-Zugangsdaten. Lexikalisch sortiert, enthält viele Tastaturmuster- und ASCII-Art-artige Einträge.

Einzelzeichensatz, der Interpunktion, Symbole und den vollständigen alphanumerischen Bereich abdeckt, für zeichenbasiertes Input-Fuzzing und Tests an Filter-/Kodierungsgrenzen.

Apache-Tomcat-Pfade für Manager, Host-Manager und interne Bereiche (META-INF, WEB-INF, manager/html) zum Enumerieren von Tomcat-Servern.

Apache-spezifische Pfade und Dateien, einschließlich .htaccess, Log-Speicherorten, CGI-Verzeichnissen und server-status-Endpunkten. Verwendbar beim Fingerprinting oder gezielten Angriff auf Apache-Server.

Gängige API-Aktions-/Verbnamen (add, delete, activate, login), die zum Konstruieren und Fuzzen von API-Operationspfaden verwendet werden.

Kuratierte Liste gängiger REST-API-Endpunktpfade (api/auth, api/users usw.) zur Inhaltserkennung an API-Wurzeln.

Große Liste von API-Ressourcen-/Methoden-Tokens und Bezeichnern, die aus echten APIs gesammelt wurden, nützlich für das tiefgehende Fuzzing von API-Endpunkten.

API-Tokens und Endpunktfragmente, die in realem Datenverkehr und Codebasen beobachtet wurden, mit dem Ziel, aktive API-Oberflächen zu entdecken.

Gängige API-Objekt-/Substantivnamen (users, orders, products, ids) zum Erstellen oder Fuzzen von RESTful-Ressourcenpfaden.

Die 487 häufigsten Passwörter arabischsprachiger Nutzer, einschließlich arabischer transliterierter Namen mit angehängten Ziffern. Eine kompakte Liste für Ziele im Nahen Osten und in Nordafrika.

Arjuns große Wortliste mit HTTP-Parameternamen (~26k) zum Entdecken versteckter Anfrageparameter.

Arjuns mittelgroße Wortliste mit HTTP-Parameternamen für eine ausgewogene Erkennung versteckter Parameter.

Klartext-Passwörter, die aus dem Ashley-Madison-Breach von 2015 wiederhergestellt wurden (geknackte bcrypt-/MD5-Hashes), lexikalisch sortiert.

Bekannte/geleakte ASP.NET-validationKey,decryptionKey-Paare (machineKey-Geheimnisse) zum Testen von ViewState-Deserialisierung und Angriffen mit gefälschten Tokens.

Assetnotes kuratierte Subdomain-Wordlist mit ~2 Millionen Einträgen, abgeleitet aus CommonSpeak2 und Scan-Daten, eine beliebte mittelgroße Liste für DNS-Brute-Forcing.

Assetnotes Flaggschiff-Wordlist mit 9,5 Millionen Einträgen zum Brute-Forcing von DNS/Subdomains, nach Häufigkeit aus großflächigen Internet-Scans sortiert. Eine der effektivsten Listen für massenhaftes Subdomain-Brute-Forcing, die verfügbar sind.

Assetnotes automatisch generierte Wordlist für API-Routen, gewonnen aus dem Crawl des HTTP Archive (2024-05-28), die echte /api- und versionierte Endpunkt-Pfade für die Erkennung von API-Endpunkten enthält.

Assetnotes automatisch generierte Verzeichnis-/Pfad-Wordlist, gewonnen aus den Top-Sites des HTTP Archive (2024-05-28), mit vollständigen Pfadpräfixen, sortiert nach realer Häufigkeit.

Assetnotes automatisch generierte Subdomain-Wordlist, gewonnen aus dem Crawl-Datensatz des HTTP Archive (2024-05-28), nach Häufigkeit aus realen Hostnamen sortiert.

Administrative Action-Endpunkte von Atlassian Confluence (Bereichsberechtigungen, OAuth-Consumer, Seitenvorlagen) zum Enumerieren von Confluence-Adminbereichen.

Die bekannte Big List of Naughty Strings: reservierte Wörter, Sonderzeichen, Unicode-Grenzfälle, Skript-/SQL-Schnipsel und andere Eingaben, die naive Software häufig zum Absturz bringen. Eine Allzweck-Liste für Eingabevalidierungs-Fuzzing.

Bitquarks 100.000 wichtigste Subdomain-Labels, aus DNS-Datensätzen und öffentlichen Daten geschürft. Eine weit verbreitete, hochwertige Liste, geordnet nach realer Häufigkeit.

Bo0oMs kuratierte Fuzzing-Liste für Dateiendungen (Backup-, Konfigurations-, Quellcode-, Archiv-Suffixe) zum Aufspüren sensibler Dateien per Brute-Forcing von Endungen.

Die 100.000 häufigsten brasilianischen Vornamen, kleingeschrieben, einer pro Zeile. Nützlich für Benutzernamen-Enumeration und namensbasiertes Passwort-Raten gegen brasilianische/portugiesischsprachige Ziele.

Wortliste von HTTP-Parameternamen, zusammengestellt aus Burp Suite, zum Fuzzen versteckter GET-/POST-Parameter.

Das Standard-Passwortwörterbuch, das mit dem Windows-Wiederherstellungstool Cain & Abel mitgeliefert wird und rund 306.000 Einträge enthält. Eine ausgewogene Allzweck-Cracking-Liste.

Passwörter, die aus dem Einbruch in das Carding-Forum carders.cc wiederhergestellt wurden, stark in Richtung deutschsprachiger Passwörter verschoben. Nützlich zum Profiling von Anmeldedaten aus Untergrundforen und von deutschen Nutzern.

Umfangreiche Liste klassischer cgi-bin-Skripte und veralteter CGI-Endpunkte (.cgi, .exe, .pl, .cfm). Nützlich für das Aufspüren verwundbarer veralteter CGI-Handler auf älteren Webservern.

Das vollständige Korpus gängiger chinesischsprachiger Passwörter, der komplette nach Häufigkeit geordnete Satz hinter den chinesischen Top-N-Stufen.

Die 10.000 häufigsten Passwörter chinesischer Nutzer, nach Häufigkeit sortiert, einschließlich Mustern wie 5201314 und 7758521. Nützlich, um chinesischsprachige Konten gezielt anzugreifen.

Die 1.000.000 häufigsten chinesischsprachigen Passwörter, nach Häufigkeit geordnet, einschließlich Telefonnummern-Mustern und kulturell spezifischer Zahlenfolgen (z. B. 5201314).

Standard- und integrierte Kontobenutzernamen, gesammelt aus der Standardpasswort-Datenbank von cirt.net. Nützlich, um gängige Hersteller-/Admin-Konten über viele Geräte und Dienste hinweg per Spraying anzugreifen.

Standardpasswörter, aggregiert aus der Standardpasswort-Datenbank von CIRT.net. Ideal für Prüfungen auf Standard-Zugangsdaten über viele Geräte hinweg.

Bekannte Standardanmeldedaten für Citrix-Produkte wie NetScaler (nsroot) und Unidesk. Kleine, hochwertige Liste zum Testen von Logins an Citrix-Appliances.

Pfade zu Konfigurationsdateien gängiger CMS (wp-config.php, configuration.php, settings.php, app/etc/env.php) zum Aufspüren der Offenlegung von zugangsdatenführenden Konfigurationen.

Eine große Liste mit 653.920 Einträgen, die mehrere Subdomain-Quellen für maximale Abdeckung zusammenführt. Am besten mit einem schnellen Resolver wie puredns für eine gründliche Aufzählung auszuführen.

Command-Injection-Payloads, die Shell-Trennzeichen, Quoting und kodierte Zeilenumbrüche mit Befehlen wie id und cat /etc/passwd kombinieren. Zum Erkennen von OS-Command-Execution in Web-Parametern.

Umfangreicher OS-Command-Injection-Payload-Satz, erzeugt im Stil des Commix-Tools, der echo-Marker-Proben und viele Trennzeichen-/Kodierungs-Kombinationen verwendet. Zum Erkennen von Shell-Command-Injection-Sinks.

Gängige privilegierte Kontonamen (root, administrator, superuser usw.), jeweils gepaart mit ihrer Base64-Kodierung, nützlich für HTTP-Basic-Auth und andere base64-kodierte Anmeldedatenfelder. Das Format ist plaintextname:base64name pro Zeile.

Mazen Gamals kompakte Liste gängiger API-Endpunkt- und Versionspfade zur schnellen Aufzählung der API-Oberfläche.

Die 10.000 häufigsten Passwörter, zusammengestellt von Mark Burnett. Eine schnelle Basisliste mit hoher Trefferquote für jeden Passwortangriff.

Gezielte Liste gängiger Dateinamen von Datenbank-Backups und Archiv-Erweiterungen (sql, tar.gz, zip, 7z usw.). Nützlich, um auf Webservern zurückgelassene, offen zugängliche Datenbank-Dumps aufzuspüren.

Liste gängiger HTTP-/HTTPS-Dienst-Ports für die Erkennung von Webdiensten und für portbasiertes Fuzzing über nicht standardmäßige Web-Ports.

Umfangreiche Sammlung gängiger .php-Dateinamen, wie sie in PHP-Anwendungen und -Frameworks vorkommen. Zugeschnitten auf die Aufzählung PHP-basierter Websites.

Eine kurze, hochwertige Liste der gängigsten standardmäßigen SNMP-Community-Strings (public, private, Herstellervorgaben) für schnelle SNMP-Anmeldedaten-Checks.

Die onesixtyone-fertige Version der Liste gängiger standardmäßiger SNMP-Community-Strings zum schnellen Scannen von SNMP-Diensten mit onesixtyone.

Die klassische common.txt von SecLists mit häufig anzutreffenden Web-Pfaden, einschließlich Dotfiles, VCS-Ordnern und Admin-Endpunkten. Eine zuverlässige Standard-Wortliste für die alltägliche Discovery.

Komprimierungs- und Archiv-Dateiendungen (7z, zip, tar, gz, rar, arj usw.) zum Aufspüren exponierter Backups und Archivdateien auf Webservern.

CRLF-Injection-Payloads, die verschiedene Kodierungen von Carriage-Return/Line-Feed verwenden, um einen Set-Cookie-Header zu injizieren. Zum Testen von HTTP-Response-Splitting und Header-Injection.

Von curl unterstützte URL-Schema-/Protokoll-Präfixe (file, gopher, dict, ftp usw.) zum Aufspüren von SSRF- und URL-Parsing-Fehlern.

Die Top 10.000 Passwörter, aggregiert aus Darkweb-Breach-Dumps des Jahres 2017. Eine gute moderne Ergänzung zu älteren Listen gängiger Passwörter.

Die klassische darkc0de-Wortliste, ein großes gemischtes Wörterbuch aus Passwörtern, Wörterbuchwörtern und Symbolfolgen, das lange Zeit mit Pentest-Distributionen ausgeliefert wurde.

Mustererkennungs-Strings zum Aufspüren von Datenbank-, ASP.NET- und Server-Fehlermeldungen in HTTP-Antworten, nützlich für Grep-Listen zur Erkennung von SQLi- und Fehler-Leaks.

Jedes Datum von 1900 bis 2020 im Format DDMMYYYY. Wirksam gegen Passwörter im Stil von Geburtsdaten und numerische PIN-Muster-Versuche.

Tief verschachtelte ../-Path-Traversal-Sequenzen, um Dateien mehrere Verzeichnisebenen oberhalb des Web-Roots zu erreichen.

Die 500 wichtigsten DNS-Präfixe, von deepmagic.com aus groß angelegten Reverse-DNS-Daten zusammengestellt. Eine winzige Liste für schnelle Durchläufe, nützlich für Namensmuster von ISPs und Infrastruktur.

Die 50.000 wichtigsten DNS-Präfixe, von deepmagic.com aus groß angelegten Reverse-DNS-Daten zusammengestellt. Eine umfangreiche Liste, stark bei Namenskonventionen von ISPs, Hosting und Infrastruktur.

Kuratierte Liste von Standardpasswörtern von Herstellern/Geräten. Verwendbar gegen Router, IoT und Appliances, die mit Werkszugangsdaten ausgeliefert werden.

Die kleinste DirBuster-2.3-Verzeichnisliste, eine prioritätsgeordnete, case-sensitive Sammlung von Pfaden, die auf mindestens 3 verschiedenen Hosts gefunden wurden. Ein schneller, geräuscharmer Ausgangspunkt für Verzeichnis-Brute-Forcing.

Die rein kleingeschriebene Variante der mittelgroßen DirBuster-2.3-Verzeichnisliste, nützlich gegen case-insensitive Webserver. Prioritätsgeordnet nach Einträgen, die auf mindestens 2 verschiedenen Hosts gefunden wurden.

Die rein kleingeschriebene, kleine DirBuster-2.3-Verzeichnisliste für case-insensitive Ziele. Die Einträge sind prioritätsgeordnet und wurden auf mindestens 3 verschiedenen Hosts gefunden.

Die ursprüngliche erste Entwurfsfassung der unsortierten, case-sensitive DirBuster-1.0-Liste, die Einträge enthält, die auf mindestens zwei Hosts gefunden wurden. Eine breite Legacy-Wordlist zur Erkennung von Verzeichnissen und Dateien.

Die vollständige, case-sensitive DirBuster-2.3-Liste zum Brute-Forcing von Verzeichnissen und Dateien, nach Priorität sortiert und mit Einträgen, die auf mindestens einem Host gefunden wurden. Die kanonische große Wordlist für die Erkennung von Webinhalten.

Die legendäre DirBuster-Medium-Liste mit Verzeichnis- und Dateinamen, sortiert nach realer Trefferhäufigkeit. Die Standard-Wordlist für eine gründliche, tiefgehende Brute-Force-Suche nach Web-Verzeichnissen.

Die case-insensitive Variante (komplett kleingeschrieben) der vollständigen großen DirBuster-2.3-Liste, nach Priorität sortiert. Nützlich gegen case-insensitive Webserver, um doppelte Anfragen zu reduzieren.

Path-/Directory-Traversal-Payloads, die auf die Windows-win.ini abzielen, mit vielen Kodierungs- und Doppelkodierungs-Varianten von ../- und Backslash-Sequenzen. Zum Testen von Path-Traversal-Filtern und WAF-Bypass.

Datei- und Verzeichnispfade, abgeleitet aus dem Quellbaum des Django-CMS bzw. Django-Frameworks, einschließlich Admin-, Template- und Python-Modulpfaden. Nützlich für die Content-Discovery gegen Django-basierte Websites.

Die 1.000 am häufigsten beobachteten Subdomain-Labels, kuratiert vom dnscan-Projekt, ideal für schnelles Subdomain-Brute-Forcing mit hoher Trefferquote.

Die Top 10.000 Subdomain-Labels aus dem dnscan-Projekt, eine umfangreichere, nach Häufigkeit geordnete Liste für tiefergehende DNS-Subdomain-Discovery.

Die standardmäßige Subdomain-Brute-Force-Namensliste, die mit dem Enumerations-Tool dnsrecon mitgeliefert wird und numerische Präfixe mit gängigen Dienst-Hostnamen kombiniert.

Die 5.000 häufigsten Subdomain-Labels von dnsrecon, abgeleitet aus dem Top-1-Million-Datensatz, eine ausgewogene mittelgroße Liste für Subdomain-Brute-Forcing.

Remote-API-Endpunkte der Docker Engine (containers/json, images, build, exec, debug/pprof) zum Sondieren exponierter Docker-Daemons.

Datei- und Verzeichnispfade des CMS DotNetNuke (DNN) (Admin-Container, Skins, Module, install) zum Enumerieren von DNN-Installationen.

Alle 256 Byte-Werte doppelt URL-kodiert (%25xx) zum Testen von Double-Decoding-Bugs, WAF-Umgehung und Filter-Evasion.

Differenzielle URL-Liste der mit Drupal 7.20 ausgelieferten Dateien (includes, modules, themes) zum Fingerprinting von Drupal-Core-Pfaden.

Liste von Drupal-Theme-Verzeichnispfaden unter themes/. Nützlich für die Enumeration installierter Drupal-Themes bei CMS-Assessments und beim Versions-Fingerprinting.

Umfassende Liste von Drupal-Kerndateien, -Modulen, -Themes und Übersetzungsdateien. Konzipiert für die tiefgehende Aufzählung von Drupal-basierten Websites.

Elasticsearch- und Kibana-API-Endpunkte (_all, _cat, _search, api/saved_objects) zur Enumeration exponierter ELK-Stack-Schnittstellen.

Passwörter aus dem Datenleck des EliteHacker-Forums. Eine kompakte, von der Security-Community geprägte Liste, nützlich für Cracking und das Erraten von Zugangsdaten.

Die 100 wichtigsten E-Mail-Anbieterdomains, nützlich zum Generieren von E-Mail-/IDN-Payloads, für Account-Enumeration-Tests und das Fuzzing von E-Mail-Parsern.

Passwörter aus dem Einbruch in die christliche Schreib-Community FaithWriters, reich an religiösen und glaubensbezogenen Begriffen. Nützlich, um religiös geprägte Passwortmuster gezielt anzugreifen.

Die 1000 häufigsten US-amerikanischen Familiennamen (Nachnamen). Nützlich zum Erzeugen von Benutzernamen-Kandidaten sowie für Password-Spraying / AD-Konten-Enumeration bei auf Nachnamen basierenden Namenskonventionen.

Die 1000 häufigsten weiblichen US-amerikanischen Vornamen. Nützlich zum Erstellen von Benutzernamen-Permutationen sowie für die Active-Directory-Benutzer-Enumeration bei auf Vornamen basierenden Schemata.

Die integrierte Subdomain-Brute-Force-Liste, die mit dem modernen Python-DNS-Reconnaissance-Tool fierce ausgeliefert wird und gängige Hostnamen sowie numerische Präfixe abdeckt.

Die klassische Hostnamenliste mit 2.280 Einträgen, die mit dem DNS-Aufklärungstool Fierce ausgeliefert wird. Eine kompakte Einstiegsliste gängiger Host-Präfixe.

PHP-Dateiendungen zum Umgehen von Upload-Filtern (Doppelendungen, .php3-.php8, .pht, .phar, .phtml) zum Testen unsicherer Upload-Handler.

Die 150 häufigsten finnischsprachigen Passwörter aus dem Pwdb-Datensatz, einschließlich lokaler Schimpfwörter und Tastaturmuster. Nützlich für das Erraten von Zugangsdaten im finnischen Sprachraum.

Die 1000 häufigsten indischen Vornamen. Nützlich für regionsspezifische Benutzernamen-Generierung und Konten-Enumeration gegen in Indien ansässige Organisationen.

Format-String-Angriffs-Payloads (%p, %x, %n und wiederholte/lange Varianten) zum Untersuchen von printf-Schwachstellen im C-Stil. Zum Testen nativer Back-Ends und Logging-Sinks.

VPN-Passwörter, die 2021 im Fortinet-SSL-VPN-Dump geleakt wurden. Höchst relevant zum Testen der Wiederverwendung von Unternehmens-/VPN-Zugangsdaten.

Alle 10.000 vierstelligen PINs, sortiert nach realer Häufigkeit mit Vorkommenszählung. Verwendbar für PIN-Brute-Forcing oder Masken, wo vierstellige PINs zutreffen.

Die 20.000 häufigsten französischsprachigen Passwörter, nach Häufigkeit sortiert, einschließlich französischer Tastaturmuster wie azerty. Ideal für französischsprachige Ziele.

Kuratierte user:password-Kombinationen für FTP-Dienste, die gängige Hersteller- und Appliance-Standardwerte abdecken. Direkt einsetzbar für FTP-Brute-Force-Tools, die durch Doppelpunkt getrennte Anmeldedaten-Paare akzeptieren.

Umfassende Liste vollqualifizierter Java-Klassennamen, nützlich für Java-Deserialisierung, JNDI-/Log4j-Gadget-Discovery und Fuzzing von Klassennamen-Parametern.

Vorhersehbare Pfade für Microsoft Active Directory Federation Services (ADFS), einschließlich App_Code, Ressourcendateien und lokalisierten resx-Assets. Hilft beim Fingerprinting und Auffinden von Inhalten auf ADFS-Portalen.

Zeitbasierte Blind-SQL-Injection-Payloads für MSSQL-WHERE-Klauseln, die WAITFOR DELAY über zunehmend eskalierende Quote- und Klammer-Breakout-Kontexte hinweg nutzen.

Zeitbasierte Blind-SQL-Injection-Payloads für MySQL-WHERE-Klauseln, die BENCHMARK()-Verzögerungen über verschiedene Quote-/Klammer-Breakout-Kontexte hinweg nutzen.

Dateinamen, die mit Command-and-Control-Panels von Malware/Botnetzen und abgelegten PHP-Dateien in Verbindung stehen. Hilft beim Auffinden von C2-Panels und Backdoor-Artefakten auf kompromittierten Servern.

Gängige Methoden-/Aktionsnamen von Anwendungen (add, admin, auth, change, delete usw.) zum Fuzzing versteckter Business-Logic-Endpunkte, RPC-Methoden und undokumentierter Aktionen.

Große plattformübergreifende Liste von CGI-Skripten und bekanntermaßen verwundbaren CGI-Anfragepfaden zum Fuzzing innerhalb von cgi-bin- und Skriptverzeichnissen. Enthält ältere CGI-Exploits und Traversal-Sonden.

Windows-spezifische CGI-Ausführbare und bekanntermaßen verwundbare Skript-Pfade (cart32.exe, cmd.exe-Probes, fpsrvadm.exe) zum Fuzzing von Verzeichnissen im IIS-Stil (cgi/scripts).

Gängige REST/API-Ressourcennamen und Aktionsverben (account, balance, block, change, check) zum Fuzzing von API-Endpunkten und Methodennamen. Nützlich zum Auffinden undokumentierter API-Routen.

CRLF-Injection-Payloads für HTTP-Response-Splitting und Header-Injection mittels kodierter Carriage-Return-/Line-Feed-Sequenzen, UTF-7-XSS und Content-Type-Smuggling.

Alternative PHP-Dateierweiterungen und Varianten mit Groß-/Kleinschreibung, Null-Byte und nachgestellten Zeichen (phtml, php3, pHp%00 usw.), um Upload-Filter zu umgehen und Codeausführung zu erreichen.

Format-String-Angriffs-Payloads, die printf-artige Konvertierungsspezifizierer (%s, %p, %x, %n) in langen, sich wiederholenden Sequenzen kombinieren, um Format-String-Schwachstellen und Speicheroffenlegung zu untersuchen.

Vorhersehbare Pfade, die von Microsoft FrontPage Server Extensions offengelegt werden, einschließlich Author-/Admin-DLLs, .pwd-Anmeldedateien und _fpclass-Artefakten. Nützlich zum Fingerprinting von Legacy-IIS/FrontPage.

HTTP-Request-Methoden, einschließlich Standard-Verben und WebDAV-/Erweiterungsmethoden, zum Testen von methodenbasierten Umgehungen der Zugriffskontrolle und Verb-Tampering.

Grenzwertige Ganzzahlwerte (vorzeichenbehaftete/vorzeichenlose 32-Bit-Grenzen in Dezimal und Hex) zum Testen von Integer-Overflow- und Off-by-One-Bedingungen in numerischen Parametern.

Fehlerhafte und Grenzfall-JSON-Dokumente (Null-Bytes, verschachtelte Arrays, Prototype-/Class-Pollution-Schlüssel, überdimensionierte Strukturen) zum Stresstest von JSON-Parsern und API-Endpunkten.

Breite Allzweckliste gängiger Web-Verzeichnisnamen zur Brute-Force-Inhaltserkennung auf jedem beliebigen Webserver. Eine Catch-all-Verzeichnis-Wortliste, die Zahlen, Admin-Bereiche und typische App-Ordner abdeckt.

LDAP-Injection-Metazeichen und Filter-Breakout-Payloads sowohl in roher als auch in URL-kodierter Form, einschließlich Wildcard- und objectClass-Enumerationsfilter.

Gängige Dateinamen von Login- und Verwaltungsseiten über mehrere Sprachen und Erweiterungen hinweg (asp, aspx, cfm, jsp, php, pl, py, rb). Ideal, um Authentifizierungs-Endpunkte schnell aufzuspüren.

Vorhersehbare .nsf-Datenbanken und adm-bin-Ausführbare, die von IBM Lotus Notes/Domino-Servern offengelegt werden. Zielt während der Erkundung auf sensible Datenbanken und Admin-Schnittstellen ab.

MongoDB-NoSQL-Injection-Payloads, die $where-JavaScript-Auswertung, $ne-/$or-Operatoren und Regex-Match-Tricks nutzen, um die Authentifizierung zu umgehen und Daten zu extrahieren.

Erkennungs-Payloads für Microsoft-SQL-Server-Injection, einschließlich Kommentar-Terminatoren, xp_cmdshell-Sonden und UNION-basierter @@version-Offenlegungstests.

Kurzer Satz von MySQL-orientierten SQL-Injection-Erkennungsstrings, die boolesche Tests und Quote-Breakout-Tests nutzen, um injizierbare Parameter zu fingerprinten.

Viele Kodierungen des Null-Bytes (%00, \0, \x00, \u0000 usw.) zum Testen von Null-Byte-Injection, String-Trunkierung und Filter-Umgehungsbedingungen.

Templatisierte Open-Redirect-Query-Strings und Pfadvarianten (url=, next=, schemenloses //, kodierte Slashes) mit einem {target}-Platzhalter für den vom Angreifer kontrollierten Zielhost.

Oracle-spezifische SQL-Injection-Erkennungs- und Out-of-Band-Payloads, die utl_http, utl_inaddr.get_host_address und SYS-Katalogabfragen für fehlerbasierte Tests und Exfiltrationstests nutzen.

Templatisierte Präfixe/Trennzeichen für OS-Command-Injection mit einem {cmd}-Platzhalter, die Shell-Trennzeichen, Umleitungen und CRLF-kodierte Ausbrüche abdecken. Setzen Sie Ihren Befehl vor dem Fuzzing in die Vorlage ein.

Vorhersehbare Speicherorte von Passwort- und Anmeldedaten-Dateien wie htpasswd, passwd, secring und config.php. Zielt während der Web-Content-Discovery auf offengelegte Geheimnisse ab.

Directory-Traversal-Payloads bis zu 8 Ebenen tief mit exotischen und gemischten Kodierungen (Hex, URL, doppelt kodiert, Slash-/Backslash-Varianten) und einem {FILE}-Platzhalter für die Zieldatei.

PHP-Magic-Hash-Strings, die zu 0e...-Mustern hashen und lose (==) Type-Juggling-Vergleiche ausnutzen, um Authentifizierung und Hash-Prüfungen zu umgehen.

Umfassende Liste vorhersehbarer Datei- und Verzeichnispfade für das PHP-Nuke-CMS, einschließlich Admin-Skripten, Modulen, Blöcken und Sprachdateien. Nützlich für Fingerprinting und Content-Discovery auf PHP-Nuke-Installationen.

Server-Side-Includes-(SSI)-Injection-Direktiven (#config, #echo, #exec, #include) zum Testen der SSI-Verarbeitung und von Informationsoffenlegung auf Webservern.

Vorhersehbare Servlets, JSP-Beispielanwendungen und Admin-Endpunkte für Sun Application Server und GlassFish. Hilft beim Fingerprinting und Auffinden von Inhalten auf diesen Java-Applikationsservern.

Versteckte Unix-Dotfiles, die häufig über falsch konfigurierte Web-Roots offengelegt werden, einschließlich .bash_history, .htaccess, .ssh und .DS_Store. Einige Einträge prüfen auch auf bekannte dotfile-bezogene Schwachstellen.

Dateinamen, die häufig von hochgeladenen Web-Shells und Backdoors verwendet werden, sowie sensible Konfigurationsdateien, auf die Angreifer abzielen. Nützlich zum Erkennen kompromittierter Hosts oder zum Auffinden platzierter Backdoors.

Liste von Namen von Windows-Shell-Befehlen, die nützlich sind, um Command-Injection-Sinks zu testen und Remote Code Execution auf Windows-Zielen zu validieren.

XML-Angriffs-Payloads, einschließlich XXE-External-Entity-Dateilesevorgängen (/etc/passwd, boot.ini, /dev/random-DoS), CDATA-umschlossener SQLi/XSS und MS-Data-Island-Injektionen.

XPath-Injection-Payloads, die boolesche Tautologien, Knotenzählausdrücke und name()-Sonden nutzen, um die Authentifizierung zu umgehen und die Struktur des XML-Dokuments aufzuzählen.

Ashar Javeds XSS-Polyglot und seine Komponenten-Fragmente, eingebettet in zahlreiche HTML-Kontexte (input, img, a, math, iframe, style, textarea), um mehrere Injektionspunkte auf einmal auszulösen.

Browserübergreifende XSS-Payloads, die benutzerdefinierte URI-Schema-Handler (aim:, firefoxurl:, navigatorurl:, res:) missbrauchen, um Skriptausführung oder den Start lokaler Befehle zu erreichen.

Zeitbasierte Blind-SQL-Injection-Payloads, die sleep() und WAITFOR DELAY über mehrere Quoting- und Klammer-Kontexte hinweg verwenden. Konzipiert für Inferenzangriffe, bei denen keine Fehlerausgabe zurückgegeben wird.

Datenbankunabhängige SQL-Injection-Proben, die fehlerbasierte, boolesche, zeitbasierte und Stacked-Query-Payloads mischen. Eine solide Allzweck-Erkennungsliste für unbekannte Back-Ends.

Das vollständige Korpus gängiger deutschsprachiger Passwörter, der komplette nach Häufigkeit geordnete Satz hinter den deutschen Top-N-Stufen.

Die 10.000 häufigsten deutschsprachigen Passwörter, nach Häufigkeit sortiert. Nützlich, um deutschsprachige Nutzer und Konten in der DACH-Region gezielt anzugreifen.

Die 1.000.000 häufigsten deutschsprachigen Passwörter, nach Häufigkeit geordnet, nützlich für das gezielte Angreifen deutschsprachiger Nutzergruppen (z. B. passwort, schalke04).

GitHub-Such-Dorks, die auf geleakte API-Schlüssel, Anmeldedaten und Konfigurationsdateien in öffentlichen Quellcode-Repositorys abzielen.

Admin- und Instanz-Endpunkte von GitLab (admin/application_settings, audit_events, deploy_keys) zum Enumerieren selbst gehosteter GitLab-Server.

Admin- und API-Endpunkte von Grafana (admin/users, api/datasources, api/dashboards) zum Enumerieren von Grafana-Dashboards und -Einstellungen.

Gängige GraphQL-Endpunkt- und IDE-Pfade (graphql, graphiql, altair, playground) zum Auffinden von GraphQL-Schnittstellen.

Die 150 häufigsten griechischsprachigen Passwörter aus dem Pwdb-Datensatz. Nützlich für sprachspezifische Angriffe gegen griechische Ziele.

Passwörter, die bei einem Hak5-Forum-Breach geleakt wurden. Eine kompakte Liste aus einem realen Leak, nützlich zum Testen und zur Ergänzung größerer Listen.

HTTP-API-Endpunkte von HashiCorp Consul zum Auffinden offengelegter Service-Mesh-, KV-Store- und Agent-Verwaltungsschnittstellen.

Die 150 häufigsten Passwörter aus dem hebräischen Sprachraum aus dem Pwdb-Datensatz. Nützlich für das Erraten von Zugangsdaten gegen israelische bzw. hebräischsprachige Nutzer.

Benutzername-Passwort-Paare, die 2019 vom Heralding-Honeypot erfasst wurden. Repräsentiert, was automatisierte Angreifer in freier Wildbahn tatsächlich ausprobieren.

Die 150 häufigsten Passwörter aus dem Hindi-/Indien-Sprachraum aus dem Pwdb-Datensatz. Nützlich für sprachbewusste Angriffe gegen indische Ziele.

Passwörter, die von Honeypot-/Honeynet-Sensoren erfasst wurden, welche reale Login-Versuche von Angreifern beobachten. Hervorragend für Standard- und auf Bots ausgerichtete Zugangsdaten.

Passwörter, die über mehrere Honeypot-Sensoren (fabian-fingerle.de) erfasst wurden und widerspiegeln, was echte automatisierte Angreifer ausprobieren. Stark für die Simulation von Bot-/Standard-Zugangsdaten und SSH-Brute-Force.

Benutzernamen, die tatsächlich bei Live-Honeypot-Anmeldeversuchen beobachtet und von fabian-fingerle.de aus mehreren Quellen aggregiert wurden. Spiegelt reale Benutzernamen-Rateversuche von Angreifern gegen exponierte Dienste wider.

Passwörter aus dem Hotmail-Phishing-Leak von 2009, überwiegend von spanischsprachigen Nutzern. Nützlich für realitätsnahes Password-Cracking von E-Mail-Konten.

Burp-Param-Miner-Wortliste mit kleingeschriebenen HTTP-Header-Namen, für Header-Injection, die Entdeckung versteckter Header, Host-Header-Angriffe sowie CORS- und Cache-Poisoning-Tests.

Liste von HTTP-Request-Methoden/-Verben einschließlich WebDAV und ungewöhnlicher Verben, nützlich für HTTP-Verb-Tampering, methodenbasierte Zugriffskontroll-Umgehung sowie 403/405-Tests.

Standardpasswörter, die auf Huawei-Routern und ONT-/HGW-Gateways ausgeliefert werden. Herstellerspezifische Liste zum Testen von Logins an Huawei-Geräten.

Die 150 häufigsten ungarischsprachigen Passwörter aus dem Pwdb-Datensatz. Nützlich für sprachspezifische Angriffe gegen ungarische Ziele.

Standardmäßige user:password-Paare für IBM-DB2-Instanzen (db2inst1, db2admin, dasusr1 usw.). Zielt auf ab Werk vorhandene DB2-Dienstkonten ab.

IBM-Lotus-Domino-.nsf-Datenbankdateien (names.nsf, admin4.nsf, log.nsf, webadmin.nsf) zum Enumerieren exponierter Domino-Datenbanken.

Endpunkte des IBM WebSphere Application Server, Servlet-Muster und Pfade von Beispielanwendungen (.do, .jsp, services/*, WSDL). Nützlich zum Enumerieren von WebSphere-Admin- und Beispielanwendungs-Oberflächen.

Microsoft-IIS-spezifische Pfade, Beispiel-ASP-Anwendungen und klassische Directory-Traversal-Payloads. Zugeschnitten auf die Aufzählung von Windows-/IIS-Webservern.

Die 150 häufigsten indonesischsprachigen Passwörter aus dem Pwdb-Datensatz. Nützlich für sprachbewusste Angriffe gegen indonesische Ziele.

Die 150 häufigsten italienischsprachigen Passwörter aus dem Pwdb-Datensatz, einschließlich Fußballvereinen und italienischen Vornamen. Eine schnelle Quick-Hit-Liste für italienische Ziele.

Eine regional ausgerichtete Subdomain-Wortliste mit 20.000 Hostnamen, die häufig im DNS italienischer Organisationen vorkommen, nützlich für lokalisiertes Subdomain-Brute-Forcing.

J2EE-Deskriptordateien aus WEB-INF und META-INF (web.xml, jboss-app.xml, ejb-jar.xml) zum Sondieren exponierter Java-EE-Deployment-Interna.

Die 150 häufigsten Passwörter aus dem japanischen Sprachraum aus dem Pwdb-Datensatz. Nützlich für das Erraten von Zugangsdaten gegen japanische Nutzer.

Administrative JBoss/WildFly-Endpunkte wie jmx-console, web-console und das JMXInvokerServlet zum Enumerieren von JBoss-Anwendungsservern.

Jenkins/Hudson-CI-Endpunkte (Script-Konsole, cli, configure, credentials, asynchPeople) zum Auffinden von Jenkins-Verwaltungsoberflächen.

Die klassische Standard-Wortliste, die mit dem Passwort-Cracker John the Ripper ausgeliefert wird. Eine kleine, schnelle Liste gängiger Passwörter und Wörterbuchwörter.

Liste von Joomla-Komponentenpfaden unter components/com_*. Nützlich zum Aufzählen installierter Joomla-Erweiterungen bei CMS-Assessments.

Fehlerhafte und Grenzfall-JSON-Bodies zum Fuzzen von JSON-Parsern und API-Endpunkten, einschließlich Null-Bytes, Typverwirrung und verschachtelten Strukturen. Für Robustheits- und Injection-Tests von JSON-APIs.

Reale JSONP-Callback-Endpunkte (Google, Yandex, VK usw.), die für XSS über gewhitelistete Domains, CORS-/CSP-Umgehung und Smuggling von Skriptquellen missbraucht werden können.

Generierte Keyboard-Walk-Muster (z. B. zaq1xsw2). Zielt auf Passwörter ab, die aus Sequenzen benachbarter Tasten auf der Tastatur gebildet werden.

Admin-/Realm-Endpunkte des Identitäts- und Zugriffsmanagements Keycloak zum Enumerieren von Realms, Clients, Benutzern und Rollenzuordnungen.

Endpunkte des Kubernetes-API-Servers (api, apis, version, healthz, metrics) zum Sondieren exponierter kube-apiserver- und kubelet-Schnittstellen.

Gängige Datei- und Verzeichnispfade des Laravel-Frameworks (bootstrap, routes, config, artisan, .env.example), über Pfadtiefen expandiert. Nützlich für das Fingerprinting von Laravel-Anwendungen und das Aufspüren offengelegter Konfigurations- oder Umgebungsdateien.

Active-Directory-LDAP-Attributnamen (accountExpires, member, userPrincipalName usw.) für LDAP-Enumeration und Injection-Fuzzing.

Active-Directory-LDAP-Objektklassennamen (account, group, user, organizationalUnit usw.) für Schema-Enumeration und LDAP-Fuzzing.

LDAP-Injection-Metazeichen und Filter-Payloads (sowohl roh als auch URL-kodiert) wie Wildcard-objectclass-/mail-Filter. Zum Testen von verzeichnisgestützter Authentifizierung und Suche.

OpenLDAP-Attributnamen für Verzeichnis-Enumeration und LDAP-Query-/Injection-Fuzzing gegen OpenLDAP-gestützte Dienste.

Zielpfade für Local File Inclusion mit angehängtem %00-Null-Byte, um in verwundbaren include()-Handlern Filter zu umgehen, die Dateiendungen anhängen.

Local-File-Inclusion-Payloads, die sowohl Linux- als auch Windows-Log- und Konfigurationsdateien angreifen, mit Traversal- und Null-Byte-Varianten.

Ein breiter Katalog interessanter Linux-Dateien, die per Local File Inclusion angesprochen werden können, von Konfigurationsdateien bis zu Anmeldedaten-Speichern. Ideal zum Enumerieren lesbarer Dateien durch einen LFI-Sink.

Path-to-Test-Payloads für Local File Inclusion, gebündelt aus LFISuite, die gängige Unix/Linux-Dateien und PHP-Wrapper-/proc-Tricks abdecken. Nützlich für Parameter-Fuzzing zur Erkennung von Dateioffenlegung.

Jhaddix' kuratierte Payloads für Local File Inclusion und Path Traversal (kodierte /etc/passwd, boot.ini und mehr). Speise sie in die Parameterposition eines Fuzzers ein, um auf LFI und Directory Traversal zu testen.

Umfangreiche Liste sensibler absoluter Windows-Dateipfade (Logs, Konfiguration, Registry-Hives) für Local File Inclusion und das Testen von Path-Traversal.

URLs zur Portlet-Verwaltung im Liferay-DXP-Control-Panel (group/control_panel/manage?p_p_id=...). Nützlich für die Enumeration der standardmäßig auf einem Liferay-DXP-Portal erreichbaren Portlets.

Passwörter aus der geleakten Datenbank des Lizard-Squad-LizardStresser-Booter-Dienstes. Eine Momentaufnahme der Passwörter, die Nutzer einer DDoS-for-Hire-Plattform gewählt haben.

Payloads zur Authentifizierungsumgehung, die SQL-Injection, Standard-Anmeldedaten und Logik-Tricks kombinieren, um Login-Formulare zu fuzzen.

Datei- und Verzeichnis-Map des E-Commerce-Systems Magento (skin, media, app, includes, downloader) zum Enumerieren von Magento-Shop-Installationen.

Die 1000 häufigsten männlichen US-amerikanischen Vornamen. Nützlich zum Erzeugen von Benutzernamen-Kandidaten sowie für Password-Spraying / AD-Konten-Enumeration bei auf Vornamen basierenden Namenskonventionen.

Strings zum Auffinden von Backdoor-Shells, Rootkits und gefährlichen PHP-Funktionen (system, eval, base64_decode) in Quellcode oder Antworten bei Erkennungs-Scans.

Ein großes Wörterbuch aus Klartext-Passwörtern, die vom Dienst md5decrypter.co.uk wiederhergestellt wurden, nützlich für MD5- und allgemeines Hash-Cracking.

Sonderzeichen und Metazeichen-Sequenzen (XML-Entities, Format-Spezifizierer, Null-Marker, fehlerhaftes Markup) für allgemeines Eingabeverarbeitungs- und Injection-Fuzzing. Eine Wundertüte zum Auslösen von Parser-Fehlern.

MongoDB-spezifische NoSQL-Injection-Payloads mit den Operatoren $where, $ne, $or und JavaScript-Auswertung, zur Authentifizierungsumgehung und blinden Datenextraktion.

Minimale Liste der gängigsten ausführbaren Web-Erweiterungen (php-, asp-, jsp-Varianten) für schnelles Fuzzing.

Eine umfangreiche Liste der beliebtesten alphabetischen bzw. mit Symbolen beginnenden Passwortzeichenfolgen. Nützlich als breites ergänzendes Wörterbuch für Offline-Cracking.

Standard-user:password-Kombinationen für Microsoft SQL Server, einschließlich vieler sa-Konto-Standardwerte aus mitgelieferten Anwendungen. Ideal zum Testen von Anmeldedaten gegen exponierte MSSQL-Instanzen.

Microsoft-SQL-Server-spezifische Injection-Payloads, einschließlich xp_cmdshell-Ausführung, Login-/Rollen-Erstellung und Versions-Offenlegung über Unions. Zielt auf Back-Ends ab, die bestätigt MSSQL sind.

Microsoft-SQL-Server-Kontonamen, die in der von Guardicore analysierten Nansh0u-Kampagne beobachtet wurden. Eine kurze, signalstarke Liste von Dienstkonten, die gegen exponierte MSSQL-Instanzen eingesetzt werden.

Passwörter, die aus dem Einbruch in die Dating-Seite muslimMatch wiederhergestellt wurden und viele islamische und arabisch geprägte Begriffe enthalten. Nützlich für ein community-spezifisches Passwort-Profiling.

Passwörter aus dem MySpace-Breach, bemerkenswert wegen ihrer Muster mit angehängten Ziffern (z. B. name1). Nützlich, um Umgehungen von Komplexitätsrichtlinien zu untersuchen.

Standard-user:password-Kombinationen für MySQL/MariaDB, überwiegend root-Konto-Standardwerte, die von Appliances und Anwendungen mitgeliefert werden. Direkt einsetzbar zum Testen von Anmeldedaten gegen exponierte MySQL-Dienste.

Die 'huge'-Variante mit 3 Millionen Einträgen aus n0kovos Subdomain-Wordlist, erstellt aus Milliarden beobachteter DNS-Namen und nach Häufigkeit sortiert. Konzipiert für massenhaftes DNS-Brute-Forcing mit puredns.

Die 'medium'-Variante mit 500k Einträgen aus n0kovos nach Häufigkeit sortierter Subdomain-Wordlist, eine ausgewogene Wahl zwischen Abdeckung und Geschwindigkeit für DNS-Brute-Forcing.

Die Liste der 100.000 am häufigsten kompromittierten Passwörter des britischen National Cyber Security Centre (aus Have I Been Pwned). Hervorragende breite Abdeckung realer schwacher Passwörter.

Passwörter aus einem NordVPN-Credential-Stuffing-Leak. Reale Benutzerpasswörter, nützlich als kleine ergänzende Liste.

Die 150 häufigsten norwegischsprachigen Passwörter aus dem Pwdb-Datensatz. Gut geeignet für Angriffe auf norwegische Nutzer in regionalen Engagements.

NoSQL- (primär MongoDB-) Injection-Payloads, die $where-, $ne-, $or-Operatoren und JavaScript-match()-Ausdrücke verwenden. Zum Testen von Dokumentendatenbanken und JSON-APIs.

MongoDB-/NoSQL-Injection-Payloads, die die Operatoren $where, $ne und $or verwenden, um die Authentifizierung zu umgehen und Daten zu extrahieren.

Der 'short'-Build von OneListForAll, ein dedupliziertes Mega-Merge vieler Fuzzing-/Content-Wordlists (SecLists, assetnote, fuzzdb und mehr) für die Erkennung von Webinhalten in einem Durchgang.

Open-Redirect-Payloads mit URL-Kodierung, Backslash- und Slash-Präfix-Tricks, um die Redirect-Validierung zu umgehen und Angreifer-Domains zu erreichen.

Open-Redirect-Bypass-Payloads mit Whitelist-Umgehungstricks (@-Tricks, kodierte Slashes, doppelte Slashes) gegen eine Platzhalterdomain whitelisteddomain.tld. Konzipiert zum Fuzzing von Redirect-/Return-URL-Parametern.

Datei- und Verzeichnispfade des Warenkorbsystems OpenCart, über alle Pfadtiefen expandiert, von Trickest aus dem OpenCart-Quellbaum generiert. Nützlich für die Enumeration von OpenCart-Admin-Modellen, Katalogdateien und der Storefront-Struktur.

Die zusammengeführte sprachübergreifende Openwall-Wortliste, ein großes mehrsprachiges Wörterbuch, das historisch vom Openwall-/John-the-Ripper-Projekt verteilt wurde.

Admin-Endpunkte der OpenWrt-LuCI-Weboberfläche (cgi-bin/luci/admin/*) zum Entdecken und Enumerieren von OpenWrt-Router-Verwaltungsoberflächen.

Namen von Betriebssystemen und Distributionen zum Fuzzing von User-Agent-, Banner- und Plattform-Identifikationsparametern.

Administrations- und Verwaltungspfade (admin-serv, admpw, dsgw) für Oracle-/Sun-iPlanet-(Netscape-)Webserver.

Servlet- und Beispiel-Endpunktnamen, die durch den Oracle 9i Application Server exponiert werden, zum Fingerprinting und zur Discovery.

Oracle-Application-Server-Admin-, Servlet- und Konsolenpfade (BPELConsole, EMDServlet, isqlplus usw.) zum Enumerieren von Oracle-Middleware.

Umfangreiche Liste von Standard-user:password-Kombinationen für Oracle Database, einschließlich SYSTEM- und Anwendungskonto-Standardwerten. Ideal zum Testen von Anmeldedaten gegen Oracle-TNS-Listener.

Endpunkt-Wortliste der Oracle E-Business Suite (OA_HTML, _pages, admin) zum Enumerieren von Oracle-EBS-Web-Deployments.

Oracle-spezifische SQL-Injection-Payloads, die UTL_HTTP, UTL_INADDR-Out-of-Band-Exfiltration und PL/SQL-Konstrukte nutzen. Zum Untersuchen von Oracle-DB-Back-Ends.

Konsolen-, Deployment- und Servlet-Pfade von Oracle WebLogic zum Enumerieren von WebLogic-Anwendungsservern und Admin-Oberflächen.

Die klassische Phenoelit-Datenbank mit hersteller-spezifischen user:password-Standardpaaren, die Hunderte von Netzwerk- und Embedded-Geräten abdeckt. Langjährige Referenzsammlung zum Testen von Standardanmeldedaten.

Segmente von PHP-convert.iconv-Filterketten, die bei php://filter-LFI-zu-RCE- und blinden File-Read-Oracle-Angriffen gegen PHP-Wrapper eingesetzt werden.

Magic-Hash-Strings, die beim PHP Type Juggling als lose gleich (loose-equal) ausgewertet werden, um schwache ==-Hash-Vergleiche zu umgehen.

Namen von PHP-Magic-Methoden (__wakeup, __destruct, __toString usw.) für PHP-Objektinjektion / die Suche nach Gadgets bei unsicherer Deserialisierung und für Quellcode-Reviews.

Passwörter aus dem Breach des phpBB-Forums. Eine solide mittelgroße Liste aus einem realen Leak für allgemeines Cracking.

Datei- und Verzeichnispfade der Forensoftware phpBB, über alle Pfadtiefen expandiert, von Trickest aus dem phpBB-Quellbaum generiert. Nützlich für die Enumeration von phpBB-Board-Dateien, Konfigurations- und Administrationspfaden.

Eine rund eine Million Einträge umfassende Liste gängiger polnischsprachiger Passwörter, einschließlich polnischer Namen und Wörter wie polska und misiek. Nützlich zum Knacken von Konten polnischer Nutzer.

Die 150 häufigsten portugiesischen und brasilianisch-portugiesischen Passwörter aus dem Pwdb-Datensatz. Ideal für Engagements mit Bezug zu Portugal oder Brasilien.

Standard-user:password-Kombinationen für PostgreSQL, die gängige postgres- und Admin-Konto-Standardwerte abdecken. Direkt einsetzbar zum Testen von Anmeldedaten gegen exponierte Postgres-Dienste.

PostgreSQL-Information-Disclosure-SELECT-Anweisungen zum Enumerieren von Version, aktuellem Benutzer/aktueller Datenbank und Servereinstellungen, sobald die Injection bestätigt ist. Nützlich nach der Erkennung auf Postgres-Back-Ends.

Umfassende Datei- und Verzeichnispfade des E-Commerce-Systems PrestaShop, über alle Pfadtiefen expandiert, von Trickest aus dem PrestaShop-Quellbaum generiert. Nützlich für das Fingerprinting und die Enumeration von PrestaShop-Installationen und Admin-Controllern.

Ausschnitt aus Berzerk0s Projekt Probable-Wordlists, geordnet nach realer Häufigkeit. Verwendbar als effiziente mittelgroße Allzweckliste.

Die 1.575 obersten Einträge aus dem nach Häufigkeit sortierten Datensatz Probable-Wordlists v2. Eine schnelle Stufe mit hoher Trefferquote für Online-Erraten und schnelle Offline-Läufe.

Die Stufe „Top 304 Thousand“ aus berzerk0s Probable-Wordlists v2, statistisch aus Milliarden realer geleakter Passwörter geordnet für Cracking mit hoher Trefferquote.

API-Endpunkte von Prometheus und Alertmanager (api/v1/query, targets, alerts, admin/tsdb) zum Sondieren exponierter Monitoring-Backends.

Gängige Speicherorte und Dateinamen-Mutationen für Proxy-Auto-Konfigurationsdateien (.pac, proxy.pac), die auf Webservern exponiert sind.

VPN-Endpunkte von Pulse Secure / Ivanti Connect Secure (dana-admin, dana-na, hc.cgi) zum Enumerieren von Pulse-Secure-Appliances.

Die 1.000.000 häufigsten Passwörter aus dem aggregierten Pwdb-Breach-Datensatz, geordnet nach realer Häufigkeit über viele Leaks hinweg.

Die 10.000.000 häufigsten Passwörter aus dem aggregierten Pwdb-Breach-Datensatz. Eine der größten nach Häufigkeit geordneten Klartext-Passwortlisten in SecLists.

Die 100.000 häufigsten Passwörter aus dem aggregierten Pwdb-Leak-Datensatz, nach Häufigkeit sortiert. Eine solide, mittelgroße Allzweck-Cracking-Liste.

Die Top 10.000 Einträge aus dem Projekt Pwdb (Passwortdatenbank), gerankt nach Vorkommen über viele Breaches hinweg. Eine starke Allzweckliste.

Eine kurze, aussagekräftige Sammlung von SQL-Injection-Teststrings (Anführungszeichen, OR-basierte Auth-Bypässe). Geeignet für einen schnellen ersten SQLi-Check an Eingabeparametern und Login-Formularen.

Eine kuratierte Liste signalstarker Pfade, die wahrscheinlich sensible Dateien wie Dotfiles, Backups, Konfigurationsdateien und Admin-Panels offenlegen. Hervorragend für einen schnellen, hochwertigen ersten Durchlauf.

Verzeichnisnamen aus dem RAFT-Projekt, nach Häufigkeit aus realen Web-Crawls geordnet. Hervorragend geeignet, um App-Verzeichnisse (CMS-, Admin-, Framework-Pfade) während der Web-Enumeration zu entdecken.

Große, von RAFT abgeleitete Liste von Dateierweiterungen, nach Häufigkeit geordnet, für gründliches Brute-Forcing von Erweiterungen.

In Kleinbuchstaben normalisierte Variante der großen RAFT-Erweiterungsliste für Ziele ohne Berücksichtigung der Groß-/Kleinschreibung.

Dateinamen aus dem RAFT-Projekt, nach Häufigkeit geordnet, einschließlich Skript- und Konfigurationsdateien. Kombiniere sie mit einem Extension-Filter, um gezielt nach bestimmten Dateien (login.php, xmlrpc.php usw.) auf einem Ziel zu suchen.

Nach Häufigkeit gerankte Verzeichnisnamen aus dem RAFT-Projekt, mit breiterer Abdeckung als die kleine Liste. Eine ausgewogene Wahl für gründliches Verzeichnis-Brute-Forcing.

Mittelgroße RAFT-Dateierweiterungsliste, die Abdeckung und Geschwindigkeit für das Erweiterungs-Fuzzing ausbalanciert.

Nach Häufigkeit gerankte Dateinamen aus dem RAFT-Projekt mit breiterer Abdeckung als die kleine Liste. Gut zum Aufzählen von Dateien, wenn die Verzeichnisse bereits bekannt sind.

Nach Häufigkeit gerankte Rohwörter aus dem RAFT-Projekt mit breiterer Abdeckung, konzipiert für Fuzzing mit benutzerdefinierten Erweiterungen für Dateien und Verzeichnisse.

Nach Häufigkeit gerankte Liste von Verzeichnisnamen, abgeleitet aus dem Forschungsprojekt RAFT. Die kleine Variante priorisiert die häufigsten Verzeichnisse für schnelle Discovery-Durchläufe.

Kleine RAFT-Dateierweiterungsliste für schnelle Scans mit Fokus auf die gängigsten Erweiterungen.

Nach Häufigkeit gerankte Liste von Dateinamen (mit Erweiterungen) aus dem RAFT-Projekt. Die kleine Variante konzentriert sich auf die häufigsten Dateien für schnelle Content-Discovery.

Nach Häufigkeit gerankte Rohwörter (ohne feste Erweiterung) aus dem RAFT-Projekt, ideal zum Fuzzing von Dateien und Verzeichnissen mit angehängten benutzerdefinierten Erweiterungen.

Ländercodes im ISO-Stil zum Fuzzing von Locale-, Regions- und Länderparametern in Webanwendungen und APIs.

Pfade, die aus Disallow-Direktiven in den robots.txt-Dateien der beliebtesten Websites gesammelt und nach Häufigkeit geordnet wurden. Diese Pfade verweisen oft auf sensible oder interessante Inhalte, die die Seitenbetreiber verbergen wollten.

Eine größere RockYou-Teilmenge (65-%-Häufigkeitsstufe) mit breiterer Abdeckung als rockyou-50, die dennoch deutlich kleiner bleibt als die vollständige Liste.

Eine reduzierte Teilmenge der klassischen RockYou-Breach-Liste (Einträge mit bis zu 75 Zeichen). Die erste Wahl als Einstiegs-Passwortliste für das Offline-Cracken von Hashes und Credential-Brute-Forcing, wenn die vollständige rockyou.txt zu groß ist.

Datei- und Verzeichnispfade aus der Webmail-Anwendung Roundcube 1.2.3, die bin-Skripte, Konfiguration, Plugins und Skins abdecken. Nützlich für das Fingerprinting und die Enumeration von Roundcube-Webmail-Installationen.

Deduplizierte Vereinigung aller Standard-Benutzernamen und -Passwörter aus der herstellerspezifischen Router-Sammlung von SecLists. Eine einzige kombinierte Wortliste zum Spraying von Standard-Logins über Consumer-/ISP-Router hinweg.

Gängige Datei- und Verzeichnispfade von Ruby-on-Rails-Anwendungen (Gemfile, Rakefile, app/controllers, config, Anmelde-Endpunkte). Nützlich für das Fingerprinting von Rails-Apps und das Auffinden offengelegter Framework-Dateien.

Die 150 häufigsten Passwörter russischer Nutzer aus dem Pwdb-Datensatz, einschließlich an russische Tastaturen angepasster Keyboard-Walks. Eine schnelle Quick-Hit-Liste für russische Ziele.

Salesforce-Aura-/Lightning-Objektnamen zum Aufzählen offengelegter Aura-Endpunkte und zum Aufspüren von Zugriffskontrollen auf Objektebene.

Standardmäßige SAP-Dienst- und Verwaltungskontonamen (DDIC, SAP*, EARLYWATCH usw.), die mit SAP-Systemen ausgeliefert werden. Ideal für das Anvisieren von SAP NetWeaver und verwandten Unternehmensinstallationen.

Pfade von SAP-NetWeaver-Webanwendungen und Service-Endpunkte (Adobe Document Services, Konfigurations- und WSDL-Endpunkte). Nützlich zum Enumerieren exponierter SAP-NetWeaver-Java-Dienste und Admin-Oberflächen.

SCADA-StrangeLove-Liste von Standard- und fest codierten Anmeldedaten für ICS/SCADA-Geräte (SPS, Controller, Industrie-Router), mit Spalten für Hersteller, Gerät, Port und Quelle. Referenz- und Anmeldedaten-Quelle für Bewertungen industrieller Steuerungssysteme.

Auf Jahreszeiten basierende Passwörter (Frühling/Sommer/Herbst/Winter) mit Leet- und Suffix-Variationen. Höchst wirksam gegen unternehmensübliche Passwörter mit 90-Tage-Rotation.

Die dirb-'big'-Liste, eine umfangreichere, alphabetisch sortierte Sammlung von Web-Pfaden. Geeignet für eine umfassendere Content-Discovery als common.txt, ohne den hohen Umfang von directory-list-2.3-medium.

Der von SecLists deduplizierte Zusammenschluss vieler Verzeichnis-Wordlists zu einer einzigen sortierten Liste zur Verzeichniserkennung. Eine starke, universell einsetzbare Liste zum Brute-Forcing von Verzeichnissen.

Die von SecLists zusammengeführte und deduplizierte Subdomain-Wordlist, die mehrere Quellen für DNS-Brute-Forcing und Subdomain-Enumeration kombiniert.

Die von SecLists zusammengeführte und deduplizierte Wordlist aus Datei-/Worteinträgen (einschließlich Dotfiles und VCS-Pfaden) zur Inhaltserkennung gegen Webserver.

Die klassische dirb-'common'-Liste häufig anzutreffender Web-Dateien und -Verzeichnisse. Die Standard-Wordlist für einen schnellen Erstdurchlauf bei der initialen Web-Content-Discovery auf jedem Ziel.

Eine große, universell einsetzbare DNS-Subdomain-Wordlist (die klassische fierce/DNS-Brute-Namelist). Geeignet für eine erschöpfende Subdomain-Enumeration, wenn die Top-5000-Liste nicht ausreicht.

Jason Haddix' gewaltige all.txt-Wordlist zum Brute-Forcing von Subdomains, ein Klassiker für DNS-Enumeration und Recon bei der Bug-Bounty-Arbeit. Enthält Millionen von Kandidaten für Subdomain-Labels.

Eine große Liste menschlicher Vornamen, nützlich zum Generieren oder Erraten von Benutzerkonten. Geeignet, wenn Ziele auf Vornamen basierende Logins verwenden oder zum Erstellen von Benutzernamen-Permutationen.

Verzeichnisnamen, die vom SVNDigger-Projekt aus realen Quellcode-Repositorys gewonnen wurden und Frameworks, CMS-Interna und gängige App-Ordner abdecken. Eine signalstarke Liste zur Verzeichniserkennung.

Umfassende SVNDigger-Wortliste mit Datei- und Verzeichnisnamen, die aus öffentlichen Quellcode-Repositorys gesammelt wurden. Eine große, praxisnahe Liste zur Web-Inhaltserkennung, die viele Sprachen und Frameworks umfasst.

Eine winzige, äußerst wertvolle Liste der häufigsten Service- und Admin-Benutzernamen. Perfekt als Benutzernamen-Seite eines Credential-Brute-Force oder Password-Spray gegen SSH-, FTP- und Web-Logins.

Gängige Familiennachnamen zum Beantworten von Sicherheitsfragen nach dem „Mädchennamen der Mutter“ und zum Erzeugen namensbasierter Anmeldedaten-Schätzungen.

Benannte Farben (HTML-Farbliste) zum Beantworten von Sicherheitsfragen nach der „Lieblingsfarbe“ bei der Kontowiederherstellung.

Straßennamen zum Erraten von Antworten auf die Sicherheitsfrage „In welcher Straße bist du aufgewachsen?“ bei Angriffen zur Kontowiederherstellung.

Namen von Städten weltweit zum Erraten von Antworten auf Sicherheitsfragen im Stil von „In welcher Stadt wurdest du geboren?“ und für Passwort-Zurücksetzungsabläufe.

Eine fokussierte Liste mit 1.419 Einträgen gängiger dienst- und anwendungsorientierter Subdomain-Namen (api, graphql, admin, staging usw.). Ideal, um moderne App- und API-Hosts schnell aufzudecken.

Microsoft-SharePoint-spezifische Pfade einschließlich der Endpunkte _layouts, _catalogs und _admin. Ausgerichtet auf das Aufzählen von SharePoint-Installationen.

Eine Subdomain-Wortliste mit 64.721 Einträgen von Shubham Shah, abgeleitet aus StackOverflow-Daten, reich an benutzer- und projektartigen Hostnamen. Nützlich, um unkonventionelle, von Menschen erzeugte Subdomains zu erfassen.

Shubham Shahs (assetnote) kuratierte Subdomain-Wortliste mit 484.699 Einträgen, erstellt aus Bug-Bounty-Auflösungsdaten. Eine bewährte Liste für die tiefgehende, praxisnahe Subdomain-Erkennung.

Klartext-Passwörter aus dem Datenleck der christlichen Dating-Website singles.org, mit vielen glaubensbezogenen Wörtern. Hervorragend für thematisches Password-Cracking und Wörterbuchangriffe.

SkullSecuritys Notation für Buffer-/Boundary-Fuzzing ("A"-x-N-Wiederholungszähler und Format-String-Spezifizierer) für Overflow- und Längenverarbeitungstests.

Die onesixtyone-formatierte Variante der großen SecLists-Liste mit SNMP-Community-Strings, fertig zum direkten Einlesen in den onesixtyone-Scanner.

Die umfassende SecLists-Wortliste für SNMP-Community-Strings (~3.200 Einträge) zum Erraten von Read-/Write-Community-Strings auf SNMP-fähigen Geräten.

Eine deduplizierte, sortierte Zusammenführung der Standard-Wortlisten von Knock, DNSRecon, Fierce und Recon-ng. Konsolidiert mehrere Tool-Standards in einer einzigen Liste mit 102.582 Einträgen.

Eine umfangreiche kombinierte Liste gängiger spanischsprachiger Benutzernamen und Passwörter. Nützlich für Credential-Spraying gegen spanische und lateinamerikanische Konten.

Eine minimale Liste von Sonder-/Satzzeichen mit einem Zeichen pro Zeile für Einzelzeichen-Injection und Grenzwert-Fuzzing. Nützlich, um schnell zu prüfen, welche Metazeichen ein Feld ablehnt oder falsch verarbeitet.

Sonder-/Metazeichen gepaart mit ihren URL-kodierten Formen, zum Fuzzing von Eingabefiltern, zur WAF-Umgehung und zur Erkennung fehlerhafter Dekodierung.

Pfade von Spring-Boot-Actuator-Management-Endpunkten (env, heapdump, jolokia usw.) zum Aufspüren exponierter Admin-/Management-Schnittstellen, die zu Informationspreisgabe und RCE führen.

Spring-Boot-Actuator-Endpunkte (env, heapdump, beans, mappings, health) zum Enumerieren exponierter Actuator-Schnittstellen von Java-Anwendungen.

SQL-Injection-Strings, die darauf ausgelegt sind, die Login-Authentifizierung durch Manipulation der WHERE-Klausel-Logik zu umgehen.

Generische UNION-SELECT-Payloads mit unterschiedlichen Spaltenanzahlen zum Extrahieren von Daten über union-basierte SQL-Injection.

Generische, fehlerbasierte SQL-Injection-Probestrings (OR/AND-Boolesche Bedingungen, HAVING, Quote-Escaping), die SQL-Fehler über verschiedene DB-Engines hinweg auslösen und erkennen.

Kompakte SQL-Injection-Polyglot-Payloads, die in mehreren Kontexten (einfaches/doppeltes Anführungszeichen, zeitbasiert) unter MySQL mit einer einzigen Zeichenkette auslösen.

Gängige SSH-Standardzugangsdaten im Format user:pass. Direkt an Tools übergebbar, die kombinierte Zugangsdatenlisten für SSH-Brute-Forcing akzeptieren.

Injection-Payloads für Server-Side Includes (SSI) und Edge-Side Includes (ESI) mit den Direktiven #echo, #config, #exec zur Variablen-Preisgabe und Befehlsausführung.

Server-Side-Template-Injection-Proben für viele Engines (Jinja2, Twig, Freemarker, ERB, Velocity und mehr), von einfachen Mathematik-Markern bis zu Objekt-Introspektions-Ketten. Zum Erkennen und Ausnutzen von Template-Injection.

Eine Liste mit 5.370 Einträgen spanischsprachiger Subdomain-Labels für das Anvisieren spanischer und lateinamerikanischer Infrastruktur. Eine nützliche regionale Ergänzung zu englischsprachig geprägten Listen.

Die 110.000 häufigsten Subdomain-Labels aus dem DNS-Datensatz 'Top 1 Million' von Rapid7 Sonar. Eine tiefergehende Aufzählungsliste, die Abdeckung und Laufzeit ausbalanciert.

Die 20.000 häufigsten Subdomain-Labels, abgeleitet aus dem DNS-Datensatz 'Top 1 Million' von Rapid7 Sonar. Eine schnelle, signalstarke Liste für das alltägliche Brute-Forcing von Subdomains.

Die 5.000 häufigsten Subdomain-Labels, abgeleitet aus einem Korpus mit einer Million Einträgen. Die Standard-Schnellliste für das Brute-Forcing von DNS-Subdomains (gobuster dns / ffuf vhost).

Die große subbrute-Namensliste (~129k Einträge), die von Sublist3r für DNS-Subdomain-Brute-Forcing verwendet wird, geeignet für umfassende Enumeration-Sweeps.

Dokumentations-Endpunkte von Swagger und OpenAPI (api-docs, swagger-ui, openapi.json, _wadl) zum Auffinden exponierter API-Spezifikationen und -Oberflächen.

Die 150 häufigsten schwedischsprachigen Passwörter aus dem Pwdb-Datensatz. Nützlich für sprachbewusste Angriffe auf Zugangsdaten gegen schwedische Ziele.

Datei- und Verzeichnispfade aus einer Symfony-3.1.5-Demo-Anwendung, die App-Konfiguration, Kernel, Cache und Bundle-Layout abdecken. Nützlich für das Fingerprinting von Symfony-Installationen und das Auffinden offengelegter Konfigurationsdateien.

Kuratierte user:password-Standardanmeldedatenpaare für über Telnet exponierte Geräte und Appliances. Ideal zum Spraying von Standard-Logins gegen Telnet-Dienste auf IoT- und Embedded-Geräten.

Polyglotte Template-Injection-Ausdrücke (42*42) über Jinja, Twig, Freemarker, ERB, Smarty und andere hinweg, um Server-Side Template Injection anhand des Ergebnisses 1764 zu erkennen.

Standard-user:password-Kombinationen für Apache Tomcat Manager und zugehörige Admin-Konten. Ideal zum Testen exponierter Tomcat-/manager-Schnittstellen mit HTTP-Auth-Brute-Force-Tools.

Die 20 Passwörter, die am häufigsten von automatisierten Bots und Scannern gegen SSH-Dienste ausprobiert werden. Ideal für schnelle, geräuscharme Online-SSH-Brute-Force-Prüfungen.

Eine Liste von TLDs und Public Suffixes (jeweils mit einem vorangestellten Punkt) für horizontale Domain-Enumeration und TLD-Sweeping über die Apex-Domains einer Organisation.

Subdomain-Labels, gesammelt aus Trickests fortlaufendem Inventar öffentlicher Bug-Bounty-Programme. Eine signalstarke, praxisnahe Liste zum Brute-Forcing von Subdomains.

Die 150 häufigsten türkischsprachigen Passwörter aus dem Pwdb-Datensatz. Nützlich für Angriffe auf türkische Nutzer und sprachspezifisches Erraten von Zugangsdaten.

Die Liste der Passwörter, die Twitter bei der Registrierung gesperrt hat, weil sie als zu verbreitet oder zu schwach galten. Eine kompakte, aussagekräftige Liste offensichtlicher Passwörter.