El catálogo de wordlists de seguridad.

Nombres comunes de archivos y directorios extraídos habitualmente de archivos .DS_Store de macOS filtrados. Útil como lista semilla de descubrimiento de contenido para sitios que puedan tener metadatos .DS_Store expuestos.

Contraseñas únicas en texto plano de la brecha de 000webhost de 2015, un conjunto del mundo real que refleja las elecciones de contraseñas modernas de los usuarios.

Permutaciones en leetspeak de palabras base comunes (p. ej. apple -> app|3). Útiles para descifrar contraseñas que sustituyen letras por símbolos/dígitos.

Las 200 contraseñas más utilizadas de 2020 según los análisis anuales de filtraciones. Una lista diminuta y de alto rendimiento para un rociado rápido de credenciales.

La clásica lista de las 500 peores contraseñas. Diminuta e ideal para comprobaciones rápidas de fuerza bruta en línea contra servicios de inicio de sesión.

Rutas de Adobe Experience Manager (AEM) / CQ y URLs de bypass del dispatcher para enumerar instancias de AEM y nodos de contenido.

Rutas de endpoints de administrador y de componentes CFIDE de ColdFusion para identificar y sondear instalaciones de Adobe ColdFusion.

Rutas administrativas y de componentes de Adobe ColdFusion (CFIDE, cfdocs, administrator, BlazeDS) para identificar y sondear instalaciones de ColdFusion.

Rutas predeterminadas de aplicaciones de ejemplo y de WEB-INF expuestas por implementaciones de Adobe JRun / del ejecutor de servlets Java para la identificación de servidores.

Contraseñas del volcado de 2014 de ~5 millones de supuestas credenciales de Gmail. Ordenadas léxicamente, incluye muchas entradas de patrones de teclado y al estilo de ASCII-art.

Conjunto de un solo carácter que abarca signos de puntuación, símbolos y todo el rango alfanumérico, para el fuzzing de entradas a nivel de carácter y la prueba de límites de filtros/codificación.

Rutas del manager, host-manager e internas de Apache Tomcat (META-INF, WEB-INF, manager/html) para enumerar servidores Tomcat.

Rutas y archivos específicos de Apache, incluyendo .htaccess, ubicaciones de logs, directorios cgi y endpoints de server-status. Úsala al hacer fingerprinting o al apuntar a servidores Apache.

Nombres comunes de acciones/verbos de API (add, delete, activate, login) usados para construir y realizar fuzzing de rutas de operaciones de API.

Lista curada de rutas comunes de endpoints de API REST (api/auth, api/users, etc.) para el descubrimiento de contenido contra las raíces de APIs.

Lista extensa de tokens de recursos/métodos e identificadores de API recopilados de APIs reales, útil para un fuzzing profundo de endpoints de API.

Tokens de API y fragmentos de endpoints observados en tráfico y bases de código del mundo real, orientados a descubrir superficies de API activas.

Nombres comunes de objetos/sustantivos de API (users, orders, products, ids) para construir o realizar fuzzing de rutas de recursos RESTful.

Las 487 contraseñas más comunes utilizadas por usuarios de habla árabe, incluidos nombres árabes transliterados con dígitos añadidos. Una lista compacta para objetivos de Oriente Medio y el norte de África.

Wordlist extensa de nombres de parámetros HTTP de Arjun (~26k) para descubrir parámetros de petición ocultos.

Wordlist de tamaño medio de nombres de parámetros HTTP de Arjun para un descubrimiento equilibrado de parámetros ocultos.

Contraseñas en texto plano recuperadas de la brecha de Ashley Madison de 2015 (hashes bcrypt/MD5 descifrados), ordenadas léxicamente.

Pares conocidos/filtrados de validationKey,decryptionKey de ASP.NET (secretos de machineKey) para probar ataques de deserialización de ViewState y de tokens falsificados.

La wordlist curada de subdominios de Assetnote de ~2 millones de entradas derivada de CommonSpeak2 y datos de escaneo, una popular lista de tamaño medio para la fuerza bruta de DNS.

La insignia de Assetnote: la wordlist de fuerza bruta de DNS/subdominios de 9,5 millones de entradas, ordenada por frecuencia a partir de escaneos de internet a gran escala. Una de las listas de fuerza bruta masiva de subdominios más efectivas disponibles.

La wordlist de rutas de API autogenerada de Assetnote extraída del rastreo de HTTP Archive (2024-05-28), que contiene rutas reales de /api y de endpoints versionados para el descubrimiento de endpoints de API.

La wordlist de directorios/rutas autogenerada de Assetnote extraída de los sitios principales de HTTP Archive (2024-05-28), con prefijos de ruta completos ordenados por frecuencia del mundo real.

La wordlist de subdominios autogenerada de Assetnote extraída del conjunto de datos de rastreo HTTP Archive (2024-05-28), ordenada por frecuencia a partir de nombres de host del mundo real.

Endpoints de acciones administrativas de Atlassian Confluence (permisos de espacio, consumidores OAuth, plantillas de página) para enumerar las áreas de administración de Confluence.

La conocida Big List of Naughty Strings: palabras reservadas, caracteres especiales, casos límite de Unicode, fragmentos de script/SQL y otras entradas que a menudo rompen el software ingenuo. Una lista de fuzzing de validación de entradas de propósito general.

Las 100.000 etiquetas de subdominio principales de Bitquark extraídas de conjuntos de datos DNS y datos públicos. Una lista ampliamente utilizada y de alta calidad, ordenada por frecuencia del mundo real.

Lista curada de fuzzing de extensiones de archivo de Bo0oM (sufijos de copia de seguridad, configuración, código fuente y archivos comprimidos) para descubrir archivos sensibles mediante fuerza bruta de extensiones.

Los 100.000 nombres de pila brasileños más comunes, en minúsculas, uno por línea. Útiles para la enumeración de nombres de usuario y la adivinación de contraseñas basada en nombres contra objetivos brasileños/lusófonos.

Wordlist de nombres de parámetros HTTP recopilados de Burp Suite, usada para realizar fuzzing de parámetros GET/POST ocultos.

El diccionario de contraseñas predeterminado incluido con la herramienta de recuperación Cain & Abel para Windows, que contiene aproximadamente 306.000 entradas. Una lista de descifrado de propósito general bien equilibrada.

Contraseñas recuperadas de la filtración del foro de carding carders.cc, con un fuerte sesgo hacia contraseñas en alemán. Útil para perfilar credenciales de foros clandestinos y de usuarios alemanes.

Gran lista de scripts cgi-bin clásicos y endpoints CGI heredados (.cgi, .exe, .pl, .cfm). Útil para descubrir manejadores CGI heredados vulnerables en servidores web antiguos.

El corpus completo de contraseñas comunes en idioma chino, el conjunto completo clasificado por frecuencia que respalda los niveles top-N en chino.

Las 10.000 contraseñas más comunes entre usuarios chinos ordenadas por frecuencia, incluidos patrones como 5201314 y 7758521. Útil para atacar cuentas de habla china.

Las 1.000.000 contraseñas principales en idioma chino clasificadas por frecuencia, incluyendo patrones de números de teléfono y secuencias numéricas culturalmente específicas (p. ej. 5201314).

Nombres de usuario de cuentas predeterminadas e integradas recopilados de la base de datos de contraseñas por defecto de cirt.net. Útil para realizar spraying de cuentas comunes de fabricante/administrador en numerosos dispositivos y servicios.

Contraseñas por defecto agregadas de la base de datos de contraseñas predeterminadas de CIRT.net. Ideal para comprobaciones de credenciales por defecto en numerosos dispositivos.

Credenciales predeterminadas conocidas para productos de Citrix como NetScaler (nsroot) y Unidesk. Lista pequeña y de alto valor para probar inicios de sesión en appliances de Citrix.

Rutas a archivos de configuración de CMS comunes (wp-config.php, configuration.php, settings.php, app/etc/env.php) para buscar la divulgación de configuraciones con credenciales.

Una lista extensa de 653.920 entradas que fusiona múltiples fuentes de subdominios para obtener la máxima cobertura. Se ejecuta mejor con un resolver rápido como puredns para una enumeración exhaustiva.

Payloads de inyección de comandos que combinan separadores de shell, comillas y saltos de línea codificados con comandos como id y cat /etc/passwd. Para detectar la ejecución de comandos del sistema operativo en parámetros web.

Amplio conjunto de payloads de inyección de comandos del sistema operativo generado al estilo de la herramienta Commix, usando sondas con marcadores de echo y muchas combinaciones de separadores/codificaciones. Para detectar sinks de inyección de comandos de shell.

Nombres de cuentas privilegiadas comunes (root, administrator, superuser, etc.) cada uno emparejado con su codificación Base64, útiles para campos de credenciales de HTTP Basic-Auth y otros campos codificados en base64. El formato es nombreentextoplano:nombreenbase64 por línea.

Lista compacta de Mazen Gamal con rutas comunes de endpoints y versiones de API para una enumeración rápida de la superficie de API.

Las 10.000 contraseñas más comunes recopiladas por Mark Burnett. Una lista base rápida y con alta tasa de aciertos para cualquier ataque de contraseñas.

Lista específica de nombres de archivo de copias de seguridad de bases de datos comunes y extensiones de archivo comprimido (sql, tar.gz, zip, 7z, etc.). Útil para buscar volcados de bases de datos expuestos olvidados en servidores web.

Lista de puertos comunes de servicios HTTP/HTTPS para el descubrimiento de servicios web y el fuzzing basado en puertos en puertos web no estándar.

Gran colección de nombres de archivo .php comunes vistos en aplicaciones y frameworks de PHP. Adaptada para enumerar sitios basados en PHP.

Una lista corta y de alto valor de las cadenas de comunidad SNMP predeterminadas más comunes (public, private, valores predeterminados de fabricantes) para comprobaciones rápidas de credenciales SNMP.

La versión lista para onesixtyone de la lista de cadenas de comunidad SNMP predeterminadas comunes, para un escaneo rápido de servicios SNMP con onesixtyone.

El clásico common.txt de SecLists con rutas web frecuentemente encontradas, incluyendo dotfiles, carpetas de VCS y endpoints de administración. Una wordlist por defecto fiable para el descubrimiento cotidiano.

Extensiones de archivos comprimidos y de archivo (7z, zip, tar, gz, rar, arj, etc.) para buscar copias de seguridad y archivos comprimidos expuestos en servidores web.

Payloads de inyección CRLF que usan varias codificaciones de retorno de carro/avance de línea para inyectar una cabecera Set-Cookie. Para probar la división de respuestas HTTP y la inyección de cabeceras.

Prefijos de esquema/protocolo de URL admitidos por curl (file, gopher, dict, ftp, etc.) para sondear errores de SSRF y de análisis de URL.

Las 10.000 contraseñas principales agregadas a partir de volcados de filtraciones de la dark web en 2017. Un buen complemento moderno para las listas de contraseñas comunes más antiguas.

La clásica lista de palabras darkc0de, un gran diccionario mixto de contraseñas, palabras de diccionario y secuencias de símbolos incluido durante mucho tiempo en las distribuciones de pentesting.

Cadenas de coincidencia de patrones para detectar mensajes de error de bases de datos, ASP.NET y servidores en respuestas HTTP, útiles para listas de grep de detección de SQLi y fugas de errores.

Todas las fechas desde 1900 hasta 2020 en formato DDMMYYYY. Eficaz contra contraseñas del tipo fecha de nacimiento y conjeturas de patrones numéricos de PIN.

Secuencias de path traversal con ../ profundamente anidadas para alcanzar archivos varios niveles de directorio por encima de la raíz web.

Los 500 prefijos DNS principales compilados por deepmagic.com a partir de datos de DNS inverso a gran escala. Una lista diminuta de paso rápido, útil para patrones de nomenclatura de ISP e infraestructura.

Los 50.000 prefijos DNS principales compilados por deepmagic.com a partir de datos de DNS inverso a gran escala. Una lista amplia y sólida en convenciones de nomenclatura de ISP, hosting e infraestructura.

Lista curada de contraseñas por defecto de fabricantes/dispositivos. Úsala contra routers, IoT y appliances que vienen de fábrica con credenciales predeterminadas.

La lista de directorios más pequeña de DirBuster 2.3, un conjunto de rutas sensible a mayúsculas y minúsculas ordenado por prioridad que se encontró en al menos 3 hosts diferentes. Un punto de partida rápido y de bajo ruido para la fuerza bruta de directorios.

La variante toda en minúsculas de la lista de directorios media de DirBuster 2.3, útil contra servidores web que no distinguen entre mayúsculas y minúsculas. Ordenada por prioridad según las entradas encontradas en al menos 2 hosts diferentes.

La lista de directorios pequeña toda en minúsculas de DirBuster 2.3 para objetivos que no distinguen entre mayúsculas y minúsculas. Las entradas están ordenadas por prioridad y se encontraron en al menos 3 hosts diferentes.

La lista original del primer borrador de DirBuster 1.0, sin ordenar y sensible a mayúsculas y minúsculas, que contiene entradas encontradas en al menos dos hosts. Una amplia lista heredada de descubrimiento de directorios/archivos.

La lista completa de fuerza bruta de directorios/archivos de DirBuster 2.3, sensible a mayúsculas y minúsculas, ordenada por prioridad y con entradas encontradas en al menos un host. La lista de descubrimiento de contenido web de gran tamaño por excelencia.

La legendaria lista medium de DirBuster con nombres de directorios y archivos ordenados según la frecuencia real con que aparecen. El diccionario por defecto para un análisis profundo y exhaustivo en el fuerza bruta de directorios web.

La variante insensible a mayúsculas y minúsculas (todo en minúsculas) de la lista grande completa de DirBuster 2.3, ordenada por prioridad. Útil contra servidores web insensibles a mayúsculas y minúsculas para reducir las solicitudes duplicadas.

Payloads de path/directory traversal que apuntan al win.ini de Windows con muchas variaciones de codificación y doble codificación de secuencias ../ y de barra invertida. Para probar filtros de path traversal y bypass de WAF.

Rutas de archivos y directorios derivadas del árbol de código fuente del framework Django CMS / Django, incluyendo rutas de administración, plantillas y módulos de Python. Útil para el descubrimiento de contenido contra sitios basados en Django.

Las 1.000 etiquetas de subdominio observadas con mayor frecuencia, recopiladas por el proyecto dnscan, ideales para una fuerza bruta de subdominios rápida y con una alta tasa de aciertos.

Las 10.000 principales etiquetas de subdominio del proyecto dnscan, una lista más amplia ordenada por frecuencia para un descubrimiento de subdominios DNS más profundo.

La namelist de fuerza bruta de subdominios predeterminada que se incluye con la herramienta de enumeración dnsrecon, que combina prefijos numéricos con nombres de host de servicios comunes.

Las 5.000 etiquetas de subdominio más comunes de dnsrecon, derivadas del conjunto de datos del top 1 millón, una lista de tamaño medio equilibrada para la fuerza bruta de subdominios.

Endpoints de la API remota de Docker Engine (containers/json, images, build, exec, debug/pprof) para sondear daemons de Docker expuestos.

Rutas de archivos y directorios del CMS DotNetNuke (DNN) (contenedores de administración, skins, módulos, install) para enumerar instalaciones de DNN.

Los 256 valores de byte codificados en URL doble (%25xx) para probar errores de doble decodificación, evasión de WAF y elusión de filtros.

Lista diferencial de URLs de archivos incluidos con Drupal 7.20 (includes, modules, themes) para identificar las rutas del núcleo de Drupal.

Lista de rutas de directorios de temas de Drupal bajo themes/. Útil para enumerar los temas de Drupal instalados durante evaluaciones de CMS e identificación de versiones.

Lista completa de archivos del núcleo de Drupal, módulos, temas y archivos de traducción. Diseñada para una enumeración exhaustiva de sitios basados en Drupal.

Endpoints de la API de Elasticsearch y Kibana (_all, _cat, _search, api/saved_objects) para enumerar interfaces del stack ELK expuestas.

Contraseñas filtradas de la brecha del foro EliteHacker. Una lista compacta, con sabor a comunidad de seguridad, útil para descifrado y adivinación de credenciales.

Los 100 principales dominios de proveedores de correo electrónico, útiles para generar payloads de correo/IDN, pruebas de enumeración de cuentas y fuzzing de analizadores de correo.

Contraseñas de la filtración de la comunidad de escritura cristiana FaithWriters, ricas en términos religiosos y de fe. Útil para atacar patrones de contraseñas de temática religiosa.

Los 1000 apellidos (nombres de familia) estadounidenses más comunes. Útil para generar candidatos de nombre de usuario y para password-spray / enumeración de cuentas de AD en convenciones de nomenclatura basadas en apellidos.

Los 1000 nombres de pila femeninos estadounidenses más comunes. Útil para construir permutaciones de nombres de usuario y para la enumeración de usuarios de Active Directory en esquemas basados en el nombre de pila.

La lista de fuerza bruta de subdominios integrada que viene con la moderna herramienta de reconocimiento DNS fierce escrita en Python, que cubre nombres de host comunes y prefijos numéricos.

La clásica lista de 2.280 nombres de host incluida con la herramienta de reconocimiento DNS Fierce. Una lista inicial compacta de prefijos de host comunes.

Extensiones de evasión de filtros de subida de archivos PHP (extensiones dobles, .php3-.php8, .pht, .phar, .phtml) para probar gestores de subida inseguros.

Las 150 contraseñas más comunes en idioma finlandés del conjunto de datos Pwdb, incluyendo malsonancias locales y patrones de teclado. Útil para adivinación de credenciales en la región finlandesa.

Los 1000 nombres de pila indios más comunes. Útil para la generación de nombres de usuario específica de la región y la enumeración de cuentas contra organizaciones con sede en la India.

Payloads de ataque de cadena de formato (%p, %x, %n y variantes repetidas/largas) para sondear vulnerabilidades de printf al estilo C. Para probar back ends nativos y sinks de registro.

Contraseñas de VPN filtradas en el volcado de SSL-VPN de Fortinet de 2021. Muy relevantes para probar la reutilización de credenciales empresariales/VPN.

Los 10.000 PIN de cuatro dígitos ordenados por frecuencia en el mundo real con recuentos de apariciones. Úsalos para ataques de fuerza bruta de PIN o máscaras donde apliquen PIN de 4 dígitos.

Las 20.000 contraseñas más comunes en francés ordenadas por frecuencia, incluidos patrones de teclado francés como azerty. Ideal para objetivos de habla francesa.

Combinaciones usuario:contraseña curadas para servicios FTP que cubren valores predeterminados comunes de fabricantes y appliances. Lista lista para usar con herramientas de fuerza bruta de FTP que aceptan pares de credenciales separados por dos puntos.

Lista completa de nombres de clases Java totalmente cualificados, útil para la deserialización en Java, el descubrimiento de gadgets JNDI/Log4j y el fuzzing de parámetros con nombres de clase.

Rutas predecibles para Microsoft Active Directory Federation Services (ADFS), incluyendo App_Code, archivos de recursos y activos resx localizados. Ayuda a identificar y descubrir contenido en portales ADFS.

Payloads de inyección SQL ciega basada en tiempo para cláusulas WHERE de MSSQL que usan WAITFOR DELAY en contextos crecientes de ruptura de comillas y paréntesis.

Payloads de inyección SQL ciega basada en tiempo para cláusulas WHERE de MySQL que usan retardos con BENCHMARK() en variados contextos de ruptura de comillas/paréntesis.

Nombres de archivo asociados a paneles de comando y control de malware/botnets y archivos PHP depositados. Ayuda a localizar paneles C2 y artefactos de puertas traseras en servidores comprometidos.

Nombres comunes de métodos/acciones de aplicaciones (add, admin, auth, change, delete, etc.) para hacer fuzzing de endpoints de lógica de negocio ocultos, métodos RPC y acciones no documentadas.

Amplia lista multiplataforma de scripts CGI y rutas de petición CGI con vulnerabilidades conocidas para hacer fuzzing dentro de cgi-bin y directorios de scripts. Incluye exploits CGI heredados y sondas de path traversal.

Ejecutables CGI específicos de Windows y rutas de scripts con vulnerabilidades conocidas (cart32.exe, sondas de cmd.exe, fpsrvadm.exe) para hacer fuzzing de directorios cgi/scripts al estilo IIS.

Nombres comunes de recursos REST/API y verbos de acción (account, balance, block, change, check) para hacer fuzzing de endpoints de API y nombres de métodos. Útil para descubrir rutas de API no documentadas.

Payloads de inyección CRLF para HTTP response splitting e inyección de cabeceras que usan secuencias codificadas de retorno de carro/salto de línea, XSS en UTF-7 y smuggling de Content-Type.

Extensiones de archivo PHP alternativas y variantes con cambios de mayúsculas/minúsculas, byte nulo o caracteres finales (phtml, php3, pHp%00, etc.) para eludir los filtros de subida y lograr la ejecución de código.

Payloads de ataque de cadena de formato que combinan especificadores de conversión al estilo de printf (%s, %p, %x, %n) en largas secuencias repetidas para sondear vulnerabilidades de cadena de formato y divulgación de memoria.

Rutas predecibles expuestas por Microsoft FrontPage Server Extensions, incluyendo DLLs de autor/administrador, archivos de credenciales .pwd y artefactos _fpclass. Útil para identificar IIS/FrontPage heredados.

Métodos de petición HTTP que incluyen los verbos estándar y los métodos de WebDAV/extensión para probar elusiones de control de acceso basadas en métodos y manipulación de verbos.

Valores enteros límite (límites de 32 bits con y sin signo en decimal y hexadecimal) para probar condiciones de desbordamiento de entero y de off-by-one en parámetros numéricos.

Documentos JSON malformados y de casos límite (bytes nulos, arrays anidados, claves de contaminación de prototipo/clase, estructuras de tamaño excesivo) para someter a estrés a los analizadores JSON y a los endpoints de API.

Amplia lista de propósito general con nombres comunes de directorios web para el descubrimiento de contenido por fuerza bruta en cualquier servidor web. Una wordlist de directorios de tipo cajón de sastre que cubre números, áreas de administración y carpetas de aplicaciones típicas.

Metacaracteres de inyección LDAP y payloads de ruptura de filtro tanto en formato crudo como codificado en URL, incluyendo filtros de enumeración con comodines y objectClass.

Nombres de archivo comunes de páginas de inicio de sesión y de administración en múltiples lenguajes y extensiones (asp, aspx, cfm, jsp, php, pl, py, rb). Ideal para localizar rápidamente endpoints de autenticación.

Bases de datos .nsf predecibles y ejecutables adm-bin expuestos por los servidores IBM Lotus Notes/Domino. Apunta a bases de datos sensibles e interfaces de administración durante el descubrimiento.

Payloads de inyección NoSQL para MongoDB que usan evaluación de JavaScript con $where, operadores $ne/$or y trucos de coincidencia con regex para eludir la autenticación y extraer datos.

Payloads de detección de inyección para Microsoft SQL Server que incluyen terminadores de comentarios, sondas de xp_cmdshell y pruebas de divulgación de @@version basadas en UNION.

Conjunto breve de cadenas de detección de inyección SQL orientadas a MySQL que usan pruebas booleanas y de ruptura de comillas para identificar parámetros inyectables.

Múltiples codificaciones del byte nulo (%00, \0, \x00, \u0000, etc.) para probar inyección de byte nulo, truncamiento de cadenas y condiciones de elusión de filtros.

Cadenas de consulta y variantes de ruta de redirección abierta en forma de plantilla (url=, next=, // sin esquema, barras codificadas) con un marcador de posición {target} para el host de destino controlado por el atacante.

Payloads de detección de inyección SQL específicos de Oracle y de tipo out-of-band que aprovechan utl_http, utl_inaddr.get_host_address y consultas al catálogo SYS para pruebas basadas en errores y de exfiltración.

Prefijos/separadores de inyección de comandos del sistema operativo en forma de plantilla, usando un marcador de posición {cmd}, que cubren delimitadores de shell, redirecciones y rupturas codificadas con CRLF. Sustituye tu comando en la plantilla antes de hacer fuzzing.

Ubicaciones predecibles de archivos de contraseñas y credenciales como htpasswd, passwd, secring y config.php. Apunta a secretos expuestos durante el descubrimiento de contenido web.

Payloads de path traversal de hasta 8 niveles de profundidad que usan codificaciones exóticas y mixtas (hexadecimal, URL, doble codificación, variantes de barra/barra invertida) con un marcador de posición {FILE} para el archivo objetivo.

Cadenas de magic-hash de PHP que producen hashes con patrones 0e..., explotando comparaciones de type-juggling laxas (==) para eludir la autenticación y las verificaciones de hash.

Lista exhaustiva de rutas predecibles de archivos y directorios para el CMS PHP-Nuke, incluyendo scripts de administración, módulos, bloques y archivos de idioma. Útil para el fingerprinting y el descubrimiento de contenido en instalaciones de PHP-Nuke.

Directivas de inyección de Server-Side Includes (SSI) (#config, #echo, #exec, #include) para probar el procesamiento de SSI y la divulgación de información en servidores web.

Servlets predecibles, aplicaciones de ejemplo JSP y endpoints de administración para Sun Application Server y GlassFish. Ayuda a identificar y descubrir contenido en estos servidores de aplicaciones Java.

Dotfiles ocultos de Unix comúnmente expuestos a través de raíces web mal configuradas, incluyendo .bash_history, .htaccess, .ssh y .DS_Store. Algunas entradas también sondean vulnerabilidades conocidas relacionadas con dotfiles.

Nombres de archivo usados habitualmente por web shells y puertas traseras subidas, además de archivos de configuración sensibles a los que apuntan los atacantes. Útil para detectar hosts comprometidos o descubrir puertas traseras implantadas.

Lista de nombres de comandos del shell de Windows útiles para probar puntos de inyección de comandos y validar la ejecución remota de código en objetivos Windows.

Payloads de ataque XML que incluyen lecturas de archivos mediante entidades externas XXE (/etc/passwd, boot.ini, DoS con /dev/random), SQLi/XSS envueltos en CDATA e inyecciones de data-islands de MS.

Payloads de inyección XPath que usan tautologías booleanas, expresiones de recuento de nodos y sondas con name() para eludir la autenticación y enumerar la estructura del documento XML.

El políglota XSS de Ashar Javed y sus fragmentos componentes envueltos en múltiples contextos HTML (input, img, a, math, iframe, style, textarea) para dispararse en varios puntos de inyección a la vez.

Payloads de XSS multinavegador que abusan de manejadores de esquemas de URI personalizados (aim:, firefoxurl:, navigatorurl:, res:) para lograr la ejecución de scripts o el lanzamiento de comandos locales.

Payloads de inyección SQL ciega basada en tiempo que utilizan sleep() y WAITFOR DELAY en múltiples contextos de comillas y paréntesis. Diseñados para ataques de inferencia donde no se devuelve ninguna salida de error.

Sondas de inyección SQL independientes de la base de datos que combinan payloads basados en errores, booleanos, basados en tiempo y de consultas apiladas. Una sólida lista de propósito general para la detección en back ends desconocidos.

El corpus completo de contraseñas comunes en idioma alemán, el conjunto completo clasificado por frecuencia que respalda los niveles top-N en alemán.

Las 10.000 contraseñas más comunes en alemán ordenadas por frecuencia. Útil para atacar a usuarios de habla alemana y cuentas de la región DACH.

Las 1.000.000 contraseñas principales en idioma alemán clasificadas por frecuencia, útiles para atacar poblaciones de usuarios de habla alemana (p. ej. passwort, schalke04).

Dorks de búsqueda de GitHub dirigidos a claves de API filtradas, credenciales y archivos de configuración en repositorios públicos de código fuente.

Endpoints de administración e instancia de GitLab (admin/application_settings, audit_events, deploy_keys) para enumerar servidores GitLab autoalojados.

Endpoints de administración y API de Grafana (admin/users, api/datasources, api/dashboards) para enumerar paneles y configuraciones de Grafana.

Rutas comunes de endpoints e IDEs de GraphQL (graphql, graphiql, altair, playground) para localizar interfaces de GraphQL.

Las 150 contraseñas más comunes en idioma griego del conjunto de datos Pwdb. Útil para ataques específicos de la región contra objetivos griegos.

Contraseñas filtradas de una brecha del foro de Hak5. Una lista de filtración del mundo real compacta y útil para pruebas y para complementar listas más grandes.

Endpoints de la API HTTP de HashiCorp Consul para descubrir interfaces expuestas de malla de servicios, almacén KV y gestión de agentes.

Las 150 contraseñas más comunes de la región hebrea del conjunto de datos Pwdb. Útil para la adivinación de credenciales contra usuarios israelíes/hablantes de hebreo.

Pares de nombre de usuario,contraseña capturados por el honeypot Heralding en 2019. Representa lo que los atacantes automatizados realmente prueban en la práctica.

Las 150 contraseñas más comunes en hindi/de la región de India del conjunto de datos Pwdb. Útil para ataques adaptados a la región contra objetivos indios.

Contraseñas capturadas por sensores honeypot/honeynet que observan intentos reales de inicio de sesión de atacantes. Excelente para credenciales por defecto y dirigidas a bots.

Contraseñas capturadas a través de múltiples sensores honeypot (fabian-fingerle.de), que reflejan lo que realmente intentan los atacantes automatizados. Sólida para simular ataques de bots/credenciales por defecto y de fuerza bruta sobre SSH.

Nombres de usuario realmente observados en intentos de inicio de sesión en honeypots en vivo, agregados desde múltiples fuentes por fabian-fingerle.de. Reflejan las conjeturas reales de nombres de usuario de los atacantes contra servicios expuestos.

Contraseñas de la filtración por phishing de Hotmail de 2009, sesgadas hacia usuarios hispanohablantes. Útil para el descifrado de contraseñas de cuentas de correo del mundo real.

Wordlist de Param Miner de Burp con nombres de cabeceras HTTP en minúsculas, para la inyección de cabeceras, el descubrimiento de cabeceras ocultas, ataques al Host-header, y pruebas de CORS y envenenamiento de caché.

Lista de métodos/verbos de petición HTTP, incluyendo WebDAV y verbos poco comunes, útil para la manipulación de verbos HTTP, el bypass de control de acceso basado en métodos y las pruebas de 403/405.

Contraseñas predeterminadas que vienen en los routers Huawei y en las pasarelas ONT/HGW. Lista específica del fabricante para probar inicios de sesión en dispositivos Huawei.

Las 150 contraseñas más comunes en idioma húngaro del conjunto de datos Pwdb. Útil para ataques específicos de la región contra objetivos húngaros.

Pares user:password predeterminados para instancias de IBM DB2 (db2inst1, db2admin, dasusr1, etc.). Apunta a las cuentas de servicio de DB2 listas para usar.

Archivos de base de datos .nsf de IBM Lotus Domino (names.nsf, admin4.nsf, log.nsf, webadmin.nsf) para enumerar bases de datos Domino expuestas.

Endpoints de IBM WebSphere Application Server, patrones de servlets y rutas de aplicaciones de ejemplo (.do, .jsp, services/*, WSDL). Útil para enumerar las superficies de administración y de aplicaciones de ejemplo de WebSphere.

Rutas específicas de Microsoft IIS, aplicaciones ASP de ejemplo y payloads clásicos de directory traversal. Orientada a enumerar servidores web Windows/IIS.

Las 150 contraseñas más comunes en idioma indonesio del conjunto de datos Pwdb. Útil para ataques adaptados a la región contra objetivos indonesios.

Las 150 contraseñas más comunes en italiano derivadas del conjunto de datos Pwdb, incluidos clubes de fútbol y nombres de pila italianos. Una lista rápida de impacto inmediato para objetivos italianos.

Una wordlist de subdominios centrada en una región, con 20.000 nombres de host habituales en el DNS de organizaciones italianas, útil para la fuerza bruta de subdominios localizada.

Archivos descriptores WEB-INF y META-INF de J2EE (web.xml, jboss-app.xml, ejb-jar.xml) para sondear las interioridades de despliegue de Java EE expuestas.

Las 150 contraseñas más comunes de la región japonesa del conjunto de datos Pwdb. Útil para la adivinación de credenciales contra usuarios japoneses.

Endpoints administrativos de JBoss/WildFly como jmx-console, web-console y el JMXInvokerServlet utilizados para enumerar servidores de aplicaciones JBoss.

Endpoints de CI de Jenkins/Hudson (script console, cli, configure, credentials, asynchPeople) para descubrir interfaces de administración de Jenkins.

La clásica lista de palabras predeterminada que se incluye con el descifrador de contraseñas John the Ripper. Una lista pequeña y rápida de contraseñas comunes y palabras de diccionario.

Lista de rutas de componentes de Joomla en components/com_*. Útil para enumerar las extensiones de Joomla instaladas durante evaluaciones de CMS.

Cuerpos JSON malformados y de casos límite para hacer fuzzing a parsers JSON y endpoints de API, incluyendo bytes nulos, confusión de tipos y estructuras anidadas. Para pruebas de robustez e inyección en APIs JSON.

Endpoints de callback JSONP del mundo real (Google, Yandex, VK, etc.) explotables para XSS desde dominios en lista blanca, bypass de CORS/CSP y contrabando de fuentes de scripts.

Patrones de recorrido de teclado generados (p. ej. zaq1xsw2). Apunta a contraseñas construidas a partir de secuencias de teclas adyacentes en el teclado.

Endpoints de administración/realm de gestión de identidades y accesos de Keycloak para enumerar realms, clientes, usuarios y asignaciones de roles.

Endpoints del servidor de API de Kubernetes (api, apis, version, healthz, metrics) para sondear interfaces expuestas de kube-apiserver y kubelet.

Rutas comunes de archivos y directorios del framework Laravel (bootstrap, routes, config, artisan, .env.example) expandidas a través de profundidades de ruta. Útil para identificar aplicaciones Laravel y detectar archivos de configuración o de entorno expuestos.

Nombres de atributos LDAP de Active Directory (accountExpires, member, userPrincipalName, etc.) para la enumeración LDAP y el fuzzing de inyección.

Nombres de clases de objeto LDAP de Active Directory (account, group, user, organizationalUnit, etc.) para la enumeración de esquemas y el fuzzing LDAP.

Metacaracteres de inyección LDAP y payloads de filtro (tanto en crudo como codificados en URL), como filtros comodín de objectclass/mail. Para probar la autenticación y búsqueda respaldadas por directorios.

Nombres de atributos de OpenLDAP para la enumeración de directorios y el fuzzing de consultas/inyección LDAP contra servicios respaldados por OpenLDAP.

Rutas objetivo de inclusión de archivos locales con un byte nulo %00 añadido para eludir filtros que añaden extensiones en gestores include() vulnerables.

Payloads de inclusión de archivos locales (LFI) dirigidos a archivos de registro y configuración tanto de Linux como de Windows, con variantes de traversal y byte nulo.

Un amplio catálogo de archivos interesantes de Linux a los que apuntar mediante Local File Inclusion, desde archivos de configuración hasta almacenes de credenciales. Ideal para enumerar archivos legibles a través de un sink de LFI.

Payloads de rutas de prueba para Local File Inclusion empaquetados desde LFISuite, que cubren archivos comunes de Unix/Linux y trucos de wrappers de PHP y /proc. Útil para el fuzzing de parámetros con el fin de detectar divulgación de archivos.

La colección curada de payloads de Local File Inclusion y path traversal de Jhaddix (/etc/passwd codificado, boot.ini y más). Cárgala en la posición de parámetro de un fuzzer para probar LFI y directory traversal.

Amplia lista de rutas absolutas de archivos sensibles de Windows (registros, configuración, subárboles del registro) para pruebas de inclusión de archivos locales (LFI) y path traversal.

URLs de gestión de portlets del panel de control de Liferay DXP (group/control_panel/manage?p_p_id=...). Útil para enumerar los portlets por defecto accesibles en un portal Liferay DXP.

Contraseñas de la base de datos filtrada del servicio de booter LizardStresser de Lizard Squad. Una instantánea de las contraseñas elegidas por los usuarios de una plataforma de DDoS de alquiler.

Payloads de elusión de autenticación que combinan inyección SQL, credenciales por defecto y trucos de lógica para hacer fuzzing de formularios de inicio de sesión.

Mapa de archivos y directorios del comercio electrónico Magento (skin, media, app, includes, downloader) para enumerar instalaciones de tiendas Magento.

Los 1000 nombres de pila masculinos estadounidenses más comunes. Útil para generar candidatos de nombre de usuario y para password-spray / enumeración de cuentas de AD en convenciones de nomenclatura basadas en el nombre de pila.

Cadenas para encontrar shells de puerta trasera, rootkits y funciones PHP peligrosas (system, eval, base64_decode) en código fuente o respuestas durante escaneos de detección.

Un gran diccionario de contraseñas en texto plano recuperadas por el servicio md5decrypter.co.uk, útil para el descifrado de MD5 y de hashes en general.

Caracteres especiales y secuencias de metacaracteres (entidades XML, especificadores de formato, marcadores nulos, marcado roto) para el fuzzing general de manejo de entradas e inyección. Una colección variada para provocar errores de parser.

Payloads de inyección NoSQL específicos de MongoDB que usan los operadores $where, $ne, $or y evaluación de JavaScript, para el bypass de autenticación y la extracción a ciegas.

Lista mínima de las extensiones web ejecutables más comunes (variantes de php, asp, jsp) para un fuzzing rápido.

Una gran lista de las cadenas de contraseña alfabéticas/con prefijo de símbolo más populares. Útil como diccionario complementario amplio para descifrado sin conexión.

Combinaciones usuario:contraseña predeterminadas para Microsoft SQL Server, incluyendo muchos valores predeterminados de cuenta sa procedentes de aplicaciones distribuidas. Ideal para probar credenciales contra instancias MSSQL expuestas.

Payloads de inyección específicos de Microsoft SQL Server, incluyendo ejecución con xp_cmdshell, creación de logins/roles y uniones de divulgación de versión. Apunta a back ends confirmados como MSSQL.

Nombres de cuentas de Microsoft SQL Server observados en la campaña Nansh0u analizada por Guardicore. Una lista corta y de alta señal de cuentas de servicio dirigidas a instancias de MSSQL expuestas.

Contraseñas recuperadas de la filtración del sitio de citas muslimMatch, que contiene muchos términos de temática islámica y árabe. Útil para el perfilado de contraseñas específico de comunidades.

Contraseñas de la brecha de MySpace, notables por sus patrones de dígitos finales (p. ej. name1). Útiles para estudiar maneras de eludir las políticas de complejidad.

Combinaciones usuario:contraseña predeterminadas para MySQL/MariaDB, en su mayoría valores predeterminados de cuenta root distribuidos por appliances y aplicaciones. Lista lista para usar en pruebas de credenciales contra servicios MySQL expuestos.

La variante 'huge' de 3 millones de entradas de la wordlist de subdominios de n0kovo, construida a partir de miles de millones de nombres DNS observados y ordenada por frecuencia. Diseñada para la fuerza bruta masiva de DNS con puredns.

La variante 'medium' de 500k entradas de la wordlist de subdominios de n0kovo ordenada por frecuencia, una opción equilibrada entre cobertura y velocidad para la fuerza bruta de DNS.

La lista del National Cyber Security Centre del Reino Unido con las 100.000 contraseñas más filtradas (de Have I Been Pwned). Excelente cobertura amplia de contraseñas débiles del mundo real.

Contraseñas de una filtración de credential-stuffing de NordVPN. Contraseñas reales de usuarios útiles como una pequeña lista complementaria.

Las 150 contraseñas más comunes en idioma noruego del conjunto de datos Pwdb. Buena opción para atacar usuarios noruegos en evaluaciones regionales.

Payloads de inyección NoSQL (principalmente MongoDB) que utilizan los operadores $where, $ne, $or y expresiones match() de JavaScript. Para probar bases de datos documentales y APIs JSON.

Payloads de inyección MongoDB/NoSQL que usan los operadores $where, $ne y $or para eludir la autenticación y extraer datos.

La compilación 'short' de OneListForAll, una megafusión deduplicada de numerosas wordlists de fuzzing/contenido (SecLists, assetnote, fuzzdb y más) para el descubrimiento de contenido web en una sola pasada.

Payloads de redirección abierta que usan codificación URL, barras invertidas y trucos de prefijo de barra para eludir la validación de redirecciones y alcanzar dominios del atacante.

Payloads de bypass de redirección abierta que usan trucos de evasión de listas blancas (trucos con @, barras codificadas, dobles barras) contra un dominio de marcador de posición whitelisteddomain.tld. Diseñados para hacer fuzzing de parámetros de redirección/return-url.

Rutas de archivos y directorios del carrito de compras OpenCart expandidas a través de todas las profundidades de ruta, generadas por Trickest a partir del árbol de código fuente de OpenCart. Útil para enumerar modelos de administración, archivos del catálogo y estructura del escaparate de OpenCart.

La lista de palabras fusionada de todos los idiomas de Openwall, un gran diccionario multilingüe distribuido históricamente por el proyecto Openwall/John the Ripper.

Endpoints de administración de la interfaz web LuCI de OpenWrt (cgi-bin/luci/admin/*) para descubrir y enumerar las superficies de gestión de routers OpenWrt.

Nombres de sistemas operativos y distribuciones para hacer fuzzing de parámetros de user-agent, banners e identificación de plataforma.

Rutas de administración y gestión (admin-serv, admpw, dsgw) para servidores web iPlanet (Netscape) de Oracle/Sun.

Nombres de servlets y de endpoints de ejemplo expuestos por Oracle 9i Application Server para identificación y descubrimiento.

Rutas de administración, servlets y consola de Oracle Application Server (BPELConsole, EMDServlet, isqlplus, etc.) para enumerar el middleware de Oracle.

Lista extensa de combinaciones usuario:contraseña predeterminadas para Oracle Database, incluyendo valores predeterminados de cuentas SYSTEM y de aplicaciones. Ideal para probar credenciales contra listeners TNS de Oracle.

Lista de palabras de endpoints de Oracle E-Business Suite (OA_HTML, _pages, admin) para enumerar implementaciones web de Oracle EBS.

Payloads de inyección SQL específicos de Oracle que aprovechan UTL_HTTP, la exfiltración fuera de banda con UTL_INADDR y construcciones PL/SQL. Para sondear back ends de Oracle DB.

Rutas de consola, despliegue y servlets de Oracle WebLogic para enumerar servidores de aplicaciones WebLogic e interfaces de administración.

La clásica base de datos de contraseñas predeterminadas de Phenoelit con pares user:password de fabricantes que abarca cientos de dispositivos de red y embebidos. Conjunto de referencia de larga trayectoria para pruebas de credenciales predeterminadas.

Segmentos de cadenas de filtros convert.iconv de PHP utilizados en ataques de LFI a RCE mediante php://filter y en ataques de oráculo de lectura de archivos a ciegas contra wrappers de PHP.

Cadenas magic-hash que se evalúan como iguales de forma laxa en el type juggling de PHP, usadas para eludir comparaciones débiles de hash con ==.

Nombres de métodos mágicos de PHP (__wakeup, __destruct, __toString, etc.) para la caza de gadgets de inyección de objetos PHP / deserialización insegura y la revisión de código fuente.

Contraseñas de la brecha del foro phpBB. Una sólida lista de filtración del mundo real de tamaño medio para descifrado general.

Rutas de archivos y directorios del software de foros phpBB expandidas a través de todas las profundidades de ruta, generadas por Trickest a partir del árbol de código fuente de phpBB. Útil para enumerar archivos del tablón, configuración y rutas de administración de phpBB.

Una lista de aproximadamente un millón de entradas de contraseñas comunes en polaco, incluidos nombres polacos y palabras como polska y misiek. Útil para descifrar cuentas de usuarios polacos.

Las 150 contraseñas más comunes en portugués y portugués brasileño del conjunto de datos Pwdb. Ideal para evaluaciones que involucren a Portugal o Brasil.

Combinaciones usuario:contraseña predeterminadas para PostgreSQL, que cubren valores predeterminados comunes de cuentas postgres y admin. Lista lista para usar en pruebas de credenciales contra servicios Postgres expuestos.

Sentencias SELECT de divulgación de información de PostgreSQL para enumerar la versión, el usuario/base de datos actual y la configuración del servidor una vez confirmada la inyección. Útil tras la detección en back ends de Postgres.

Rutas completas de archivos y directorios del comercio electrónico PrestaShop expandidas a través de todas las profundidades de ruta, generadas por Trickest a partir del árbol de código fuente de PrestaShop. Útil para identificar y enumerar instalaciones de PrestaShop y controladores de administración.

Muestra del proyecto Probable-Wordlists de Berzerk0, ordenada por frecuencia en el mundo real. Úsala como una lista de propósito general de tamaño medio y eficiente.

Las 1.575 entradas principales del conjunto de datos ordenado por frecuencia Probable-Wordlists v2. Un nivel rápido y de alta tasa de aciertos para adivinación en línea y ejecuciones rápidas sin conexión.

El nivel Top 304 Thousand de Probable-Wordlists v2 de berzerk0, clasificado estadísticamente a partir de miles de millones de contraseñas filtradas reales para un descifrado con alta tasa de aciertos.

Endpoints de API de Prometheus y Alertmanager (api/v1/query, targets, alerts, admin/tsdb) para sondear backends de monitorización expuestos.

Ubicaciones comunes y mutaciones de nombre de archivo para archivos de configuración automática de proxy (.pac, proxy.pac) expuestos en servidores web.

Endpoints de VPN de Pulse Secure / Ivanti Connect Secure (dana-admin, dana-na, hc.cgi) para enumerar dispositivos Pulse Secure.

Las 1.000.000 contraseñas principales del conjunto de datos de brechas agregado Pwdb, clasificadas por frecuencia en el mundo real a través de numerosas filtraciones.

Las 10.000.000 contraseñas principales del conjunto de datos de brechas agregado Pwdb. Una de las listas de contraseñas en texto plano clasificadas por frecuencia más grandes de SecLists.

Las 100.000 contraseñas principales del conjunto de datos agregado de filtraciones Pwdb, ordenadas por frecuencia. Una sólida lista de descifrado de propósito general de tamaño medio.

Las 10.000 entradas principales del proyecto Pwdb (passwords database), clasificadas por aparición en numerosas filtraciones. Una lista general sólida.

Un conjunto corto y de alta señal de cadenas de prueba para inyección SQL (comillas, bypasses de autenticación basados en OR). Úsalo para una comprobación rápida de SQLi en una primera pasada sobre parámetros de entrada y formularios de inicio de sesión.

Una lista curada de rutas de alta señal que probablemente revelen archivos sensibles como dotfiles, copias de seguridad, archivos de configuración y paneles de administración. Excelente para una primera pasada rápida y de alto valor.

Nombres de directorios del proyecto RAFT clasificados por frecuencia a partir de rastreos web reales. Excelente para descubrir directorios de aplicaciones (rutas de CMS, admin y frameworks) durante la enumeración web.

Lista extensa derivada de RAFT con extensiones de archivos ordenadas por frecuencia para una fuerza bruta exhaustiva de extensiones.

Variante normalizada en minúsculas de la lista extensa de extensiones RAFT para objetivos que no distinguen entre mayúsculas y minúsculas.

Nombres de archivos del proyecto RAFT clasificados por frecuencia, incluidos archivos de script y de configuración. Combínala con un filtro de extensión para buscar archivos concretos (login.php, xmlrpc.php, etc.) en un objetivo.

Nombres de directorios clasificados por frecuencia del proyecto RAFT, con mayor cobertura que la lista pequeña. Una opción equilibrada para la fuerza bruta exhaustiva de directorios.

Lista de tamaño medio de extensiones de archivos RAFT que equilibra cobertura y velocidad para el fuzzing de extensiones.

Nombres de archivos clasificados por frecuencia del proyecto RAFT con mayor cobertura que la lista pequeña. Buena para enumerar archivos cuando los directorios ya se conocen.

Palabras en bruto clasificadas por frecuencia del proyecto RAFT con mayor cobertura, diseñadas para hacer fuzzing con extensiones proporcionadas por el usuario tanto para archivos como para directorios.

Lista de nombres de directorios clasificados por frecuencia derivada del proyecto de investigación RAFT. La variante pequeña prioriza los directorios más comunes para barridos de descubrimiento rápidos.

Lista pequeña de extensiones de archivos RAFT para escaneos rápidos centrados en las extensiones más comunes.

Lista de nombres de archivos (con extensiones) clasificados por frecuencia del proyecto RAFT. La variante pequeña se centra en los archivos más comunes para un descubrimiento de contenido rápido.

Palabras en bruto (sin extensión fija) clasificadas por frecuencia del proyecto RAFT, ideales para hacer fuzzing tanto de archivos como de directorios añadiendo extensiones personalizadas.

Códigos de país de estilo ISO para hacer fuzzing de parámetros de configuración regional, región y país en aplicaciones web y APIs.

Rutas recopiladas de las directivas Disallow de los archivos robots.txt de los sitios más populares, ordenadas por frecuencia. Estas rutas suelen apuntar a contenido sensible o interesante que los propietarios de los sitios pretendían ocultar.

Un subconjunto más grande de RockYou (nivel de frecuencia del 65%) con mayor cobertura que rockyou-50, manteniéndose mucho más pequeño que la lista completa.

Un subconjunto recortado de la clásica lista de la filtración de RockYou (entradas de hasta 75 caracteres). La lista de contraseñas de referencia para empezar el cracking de hashes sin conexión y el fuerza bruta de credenciales cuando el rockyou.txt completo es demasiado grande.

Rutas de archivos y directorios de la aplicación de webmail Roundcube 1.2.3, que cubren scripts de bin, configuración, plugins y skins. Útil para identificar y enumerar instalaciones de webmail Roundcube.

Unión deduplicada de todos los nombres de usuario y contraseñas predeterminados de la colección de routers por fabricante de SecLists. Una única wordlist combinada para rociar inicios de sesión predeterminados en routers de consumo/de ISP.

Rutas comunes de archivos y directorios de aplicaciones Ruby on Rails (Gemfile, Rakefile, app/controllers, config, endpoints de inicio de sesión). Útil para identificar aplicaciones Rails y localizar archivos del framework expuestos.

Las 150 contraseñas más comunes entre usuarios rusos del conjunto de datos Pwdb, incluidos recorridos de teclado adaptados a los teclados rusos. Una lista rápida de impacto inmediato para objetivos rusos.

Nombres de objetos de Salesforce Aura/Lightning para enumerar endpoints de Aura expuestos y sondear los controles de acceso a nivel de objeto.

Nombres estándar de cuentas de servicio y administrativas de SAP (DDIC, SAP*, EARLYWATCH, etc.) incluidos con los sistemas SAP. Ideal para apuntar a SAP NetWeaver y despliegues empresariales relacionados.

Rutas de aplicaciones web y endpoints de servicios de SAP NetWeaver (Adobe Document Services, endpoints de configuración y WSDL). Útil para enumerar servicios Java e interfaces de administración de SAP NetWeaver expuestos.

Lista SCADA StrangeLove de credenciales predeterminadas y codificadas en dispositivos ICS/SCADA (PLCs, controladores, routers industriales), con columnas de fabricante, dispositivo, puerto y fuente. Referencia y fuente de credenciales para evaluaciones de control industrial.

Contraseñas basadas en estaciones (Spring/Summer/Fall/Winter) con variaciones leet y de sufijos. Muy eficaces contra las contraseñas corporativas de rotación cada 90 días.

La lista 'big' de dirb, un conjunto más amplio de rutas web ordenado alfabéticamente. Úsala para un descubrimiento de contenido más exhaustivo que common.txt sin el gran tamaño de directory-list-2.3-medium.

La fusión deduplicada de SecLists de numerosas wordlists de directorios en una única lista ordenada de descubrimiento de directorios. Una sólida lista de fuerza bruta de directorios de uso general.

La wordlist de subdominios fusionada y deduplicada de SecLists que combina múltiples fuentes para la fuerza bruta de DNS y la enumeración de subdominios.

La wordlist fusionada y deduplicada de SecLists con entradas de archivos/palabras (incluyendo dotfiles y rutas de VCS) para el descubrimiento de contenido contra servidores web.

La clásica lista 'common' de dirb con archivos y directorios web encontrados con frecuencia. El diccionario estándar para una pasada rápida en el descubrimiento inicial de contenido web sobre cualquier objetivo.

Un amplio diccionario de subdominios DNS de propósito general (la clásica namelist de fierce/DNS brute). Úsalo para una enumeración exhaustiva de subdominios cuando la lista top-5000 no sea suficiente.

La enorme wordlist de fuerza bruta de subdominios all.txt de Jason Haddix, un clásico para la enumeración de DNS y el reconocimiento durante el trabajo de bug bounty. Contiene millones de etiquetas de subdominios candidatas.

Una amplia lista de nombres de pila de personas, útil para generar o adivinar cuentas de usuario. Úsala cuando los objetivos usen inicios de sesión basados en el nombre de pila o para construir permutaciones de nombres de usuario.

Nombres de directorios extraídos de repositorios de código fuente del mundo real por el proyecto SVNDigger, que abarcan frameworks, componentes internos de CMS y carpetas comunes de aplicaciones. Una lista de descubrimiento de directorios de alta señal.

Wordlist exhaustiva de SVNDigger con nombres de archivos y directorios recopilados de repositorios públicos de código fuente. Una lista grande y realista de descubrimiento de contenido web que abarca muchos lenguajes y frameworks.

Una lista pequeña y de gran valor con los nombres de usuario de servicio y de administrador más comunes. Perfecta como el lado de nombres de usuario en un fuerza bruta de credenciales o un password spray contra inicios de sesión de SSH, FTP y web.

Apellidos familiares comunes para responder preguntas de seguridad del tipo 'apellido de soltera de tu madre' y para generar conjeturas de credenciales basadas en nombres.

Colores con nombre (lista de colores HTML) para responder preguntas de seguridad del tipo '¿Cuál es tu color favorito?' durante la recuperación de cuentas.

Nombres de calles para adivinar respuestas a preguntas de seguridad del estilo '¿En qué calle creciste?' en ataques de recuperación de cuentas.

Nombres de ciudades del mundo para adivinar respuestas a preguntas de seguridad del estilo '¿En qué ciudad naciste?' y flujos de restablecimiento de contraseñas.

Una lista enfocada de 1.419 entradas con nombres comunes de subdominios orientados a servicios y aplicaciones (api, graphql, admin, staging, etc.). Ideal para revelar rápidamente hosts modernos de aplicaciones y APIs.

Rutas específicas de Microsoft SharePoint, incluidos los endpoints _layouts, _catalogs y _admin. Orientada a la enumeración de despliegues de SharePoint.

Una wordlist de subdominios de 64.721 entradas de Shubham Shah derivada de datos de StackOverflow, rica en nombres de host de estilo usuario y proyecto. Útil para captar subdominios poco convencionales y generados por humanos.

La wordlist curada de subdominios de 484.699 entradas de Shubham Shah (assetnote), creada a partir de datos de resolución de bug bounty. Una lista de referencia para el descubrimiento profundo de subdominios del mundo real.

Contraseñas en texto plano de la filtración del sitio de citas cristiano singles.org, con abundancia de palabras de temática religiosa. Excelente para descifrado de contraseñas temático y ataques de diccionario.

Notación de fuzzing de búfer/límite de SkullSecurity (recuentos de repetición de "A" x N y especificadores de cadenas de formato) para pruebas de desbordamiento y de manejo de longitud.

La variante con formato de onesixtyone de la gran lista de cadenas de comunidad SNMP de SecLists, lista para alimentar directamente al escáner onesixtyone.

La completa wordlist de cadenas de comunidad SNMP de SecLists (~3.200 entradas) para adivinar cadenas de comunidad de lectura/escritura en dispositivos con SNMP habilitado.

Una fusión deduplicada y ordenada de las wordlists por defecto de Knock, DNSRecon, Fierce y Recon-ng. Consolida varios valores por defecto de herramientas en una sola lista de 102.582 entradas.

Una amplia lista combinada de nombres de usuario y contraseñas comunes en español. Útil para el rociado de credenciales contra cuentas españolas y latinoamericanas.

Una lista mínima de un carácter por línea de caracteres especiales/de puntuación para la inyección de un solo carácter y el fuzzing de límites. Útil para sondear rápidamente qué metacaracteres rechaza o maneja mal un campo.

Caracteres especiales/metacaracteres emparejados con sus formas codificadas en URL, para hacer fuzzing de filtros de entrada, bypass de WAF y detección de decodificación incorrecta.

Rutas de endpoints de gestión de Spring Boot Actuator (env, heapdump, jolokia, etc.) para descubrir interfaces de administración/gestión expuestas que conducen a divulgación de información y RCE.

Endpoints de Spring Boot Actuator (env, heapdump, beans, mappings, health) para enumerar interfaces de actuator expuestas en aplicaciones Java.

Cadenas de inyección SQL diseñadas para eludir la autenticación de inicio de sesión manipulando la lógica de la cláusula WHERE.

Payloads genéricos de UNION SELECT con distinta cantidad de columnas para extraer datos mediante inyección SQL basada en union.

Cadenas de sondeo genéricas de inyección SQL basadas en errores (condiciones booleanas OR/AND, HAVING, escape de comillas) usadas para provocar y detectar errores SQL en distintos motores de bases de datos.

Payloads políglotas de inyección SQL compactos que se activan en múltiples contextos (comilla simple/doble, basados en tiempo) en MySQL con una sola cadena.

Credenciales SSH por defecto comunes en formato user:pass. Aliméntalas directamente a herramientas que aceptan listas de credenciales combinadas para fuerza bruta de SSH.

Payloads de inyección de Server-Side Includes (SSI) y Edge-Side Includes (ESI) que usan las directivas #echo, #config y #exec para la divulgación de variables y la ejecución de comandos.

Sondas de Server-Side Template Injection para muchos motores (Jinja2, Twig, Freemarker, ERB, Velocity y más), desde simples marcadores matemáticos hasta cadenas de introspección de objetos. Para detectar y explotar la inyección de plantillas.

Una lista de 5.370 entradas con etiquetas de subdominio en español para apuntar a infraestructura española y latinoamericana. Un complemento regional útil para las listas centradas en el inglés.

Las 110.000 etiquetas de subdominio más comunes del conjunto de datos DNS 'top 1 million' de Rapid7 Sonar. Una lista de enumeración más profunda que equilibra cobertura y tiempo de ejecución.

Las 20.000 etiquetas de subdominio más comunes derivadas del conjunto de datos DNS 'top 1 million' de Rapid7 Sonar. Una lista rápida y de alta señal para la fuerza bruta de subdominios del día a día.

Las 5.000 etiquetas de subdominio más comunes derivadas de un corpus de un millón de entradas. La lista rápida por defecto para el fuerza bruta de subdominios DNS (gobuster dns / ffuf vhost).

La gran lista de nombres de subbrute (~129k entradas) utilizada por Sublist3r para la fuerza bruta de subdominios DNS, adecuada para barridos de enumeración exhaustivos.

Endpoints de documentación de Swagger y OpenAPI (api-docs, swagger-ui, openapi.json, _wadl) para descubrir especificaciones e interfaces de API expuestas.

Las 150 contraseñas más comunes en idioma sueco del conjunto de datos Pwdb. Útil para ataques de credenciales adaptados a la región contra objetivos suecos.

Rutas de archivos y directorios de una aplicación de demostración de Symfony 3.1.5, que cubren la configuración de la app, el kernel, la caché y la disposición de bundles. Útil para identificar instalaciones de Symfony y localizar archivos de configuración expuestos.

Pares de credenciales predeterminadas user:password seleccionados para dispositivos y appliances expuestos por Telnet. Ideal para rociar inicios de sesión predeterminados contra servicios Telnet en equipos IoT y embebidos.

Expresiones políglotas de inyección de plantillas (42*42) que abarcan Jinja, Twig, Freemarker, ERB, Smarty y otros, para detectar inyección de plantillas del lado del servidor mediante el resultado 1764.

Combinaciones usuario:contraseña predeterminadas para Apache Tomcat Manager y cuentas de administración relacionadas. Ideal para probar interfaces /manager de Tomcat expuestas con herramientas de fuerza bruta de autenticación HTTP.

Las 20 contraseñas que con más frecuencia prueban los bots y escáneres automatizados contra servicios SSH. Ideal para comprobaciones rápidas y de bajo ruido de fuerza bruta en línea sobre SSH.

Una lista de TLDs y sufijos públicos (cada uno precedido por un punto) para la enumeración horizontal de dominios y el barrido de TLDs en los dominios apex de una organización.

Etiquetas de subdominios recopiladas del inventario continuo de Trickest de programas públicos de bug bounty. Una lista de fuerza bruta de subdominios del mundo real con alta señal.