Wordlists de sécurité

Noms de fichiers et de repertoires courants generalement extraits de fichiers .DS_Store macOS divulgues. Utile comme liste d'amorce de decouverte de contenu pour les sites susceptibles d'avoir expose des metadonnees .DS_Store.

Mots de passe en clair uniques issus de la fuite 000webhost de 2015, un ensemble réel reflétant les choix modernes de mots de passe des utilisateurs.

Permutations en leetspeak de mots de base courants (par ex. apple -> app|3). Utile pour casser les mots de passe qui remplacent des lettres par des symboles/chiffres.

Les 200 mots de passe les plus utilisés en 2020, tels que publiés dans les analyses annuelles de fuites de données. Une liste minuscule et très productive pour le credential spraying rapide.

La liste classique des 500 pires mots de passe. Minuscule et idéale pour des vérifications rapides par force brute en ligne contre les services d'authentification.

Chemins Adobe Experience Manager (AEM) / CQ et URL de contournement du dispatcher pour énumérer les instances AEM et les nœuds de contenu.

Chemins des points d'accès d'administration et de composants CFIDE de ColdFusion pour identifier et sonder les installations Adobe ColdFusion.

Chemins d'administration et de composants Adobe ColdFusion (CFIDE, cfdocs, administrator, BlazeDS) pour identifier et sonder les installations ColdFusion.

Chemins d'applications d'exemple par défaut et de WEB-INF exposés par les déploiements Adobe JRun / Java servlet runner pour l'identification de serveurs.

Mots de passe issus du dump de 2014 d'environ 5 millions d'identifiants Gmail présumés. Triés par ordre lexical, comprenant de nombreuses entrées de type motif clavier et art ASCII.

Jeu de caractères uniques couvrant la ponctuation, les symboles et l'intégralité de la plage alphanumérique, pour le fuzzing d'entrées au niveau caractère et les tests de limites de filtre/encodage.

Chemins du manager, du host-manager et chemins internes d'Apache Tomcat (META-INF, WEB-INF, manager/html) pour énumérer les serveurs Tomcat.

Chemins et fichiers spécifiques à Apache, notamment .htaccess, emplacements de logs, répertoires cgi et endpoints server-status. À utiliser pour le fingerprinting ou le ciblage de serveurs Apache.

Noms d'actions/de verbes d'API courants (add, delete, activate, login) utilisés pour construire et fuzzer des chemins d'opérations d'API.

Liste sélectionnée de chemins de points d'accès d'API REST courants (api/auth, api/users, etc.) pour la découverte de contenu sur des racines d'API.

Grande liste de jetons de ressources/méthodes et d'identifiants d'API récoltés à partir d'API réelles, utile pour un fuzzing approfondi des points d'accès d'API.

Jetons d'API et fragments de points d'accès observés dans du trafic réel et des bases de code, visant à découvrir des surfaces d'API actives.

Noms d'objets/de substantifs d'API courants (users, orders, products, ids) pour construire ou fuzzer des chemins de ressources RESTful.

Les 487 mots de passe les plus courants utilisés par les arabophones, incluant des noms arabes translittérés suivis de chiffres. Une liste compacte pour les cibles du Moyen-Orient et d'Afrique du Nord.

Grande wordlist de noms de paramètres HTTP d'Arjun (~26 k) pour découvrir les paramètres de requête cachés.

Wordlist de noms de paramètres HTTP d'Arjun de taille moyenne pour une découverte équilibrée des paramètres cachés.

Mots de passe en clair récupérés lors de la fuite Ashley Madison de 2015 (hachages bcrypt/MD5 cassés), triés par ordre lexical.

Paires validationKey,decryptionKey ASP.NET connues/divulguées (secrets machineKey) pour tester la désérialisation du ViewState et les attaques par jetons forgés.

La liste de sous-domaines soigneusement constituée d'environ 2 millions d'entrées d'Assetnote, dérivée de CommonSpeak2 et de données de scan, une liste de taille intermédiaire populaire pour la force brute DNS.

La liste phare de force brute DNS/sous-domaines de 9,5 millions d'entrées d'Assetnote, classée par fréquence à partir de scans internet à grande échelle. L'une des listes de force brute de sous-domaines de masse les plus efficaces disponibles.

La liste de routes d'API générée automatiquement par Assetnote, extraite du crawl HTTP Archive (2024-05-28), contenant de vrais chemins /api et des chemins de points de terminaison versionnés pour la découverte de points de terminaison d'API.

La liste de répertoires/chemins générée automatiquement par Assetnote, extraite des principaux sites de HTTP Archive (2024-05-28), avec des préfixes de chemins complets classés par fréquence réelle.

La liste de sous-domaines générée automatiquement par Assetnote, extraite du jeu de données de crawl HTTP Archive (2024-05-28), classée par fréquence à partir de noms d'hôtes réels.

Points de terminaison d'actions d'administration Atlassian Confluence (permissions d'espace, consommateurs OAuth, modèles de page) pour énumérer les zones d'administration de Confluence.

La célèbre Big List of Naughty Strings : mots réservés, caractères spéciaux, cas limites Unicode, fragments de script/SQL et autres entrées qui font souvent planter les logiciels naïfs. Une liste de fuzzing polyvalente pour la validation d'entrées.

Les 100 000 principaux libellés de sous-domaines de Bitquark, extraits de jeux de données DNS et de données publiques. Une liste largement utilisée et de grande qualité, ordonnée selon la fréquence réelle observée.

Liste de fuzzing d'extensions de fichiers soigneusement sélectionnée par Bo0oM (suffixes de sauvegarde, de configuration, de code source, d'archive) pour découvrir des fichiers sensibles via le brute-force d'extensions.

Les 100 000 prénoms brésiliens les plus courants, en minuscules, un par ligne. Utiles pour l'énumération de noms d'utilisateur et la devinette de mots de passe basée sur les noms contre des cibles brésiliennes/lusophones.

Wordlist de noms de paramètres HTTP compilée à partir de Burp Suite, utilisée pour fuzzer les paramètres GET/POST cachés.

Le dictionnaire de mots de passe par défaut fourni avec l'outil de récupération Windows Cain & Abel, contenant environ 306 000 entrées. Une liste de cassage généraliste bien équilibrée.

Mots de passe récupérés lors de la compromission du forum de carding carders.cc, fortement orientés vers des mots de passe germanophones. Utile pour profiler les identifiants de forums clandestins et d'utilisateurs allemands.

Vaste liste de scripts cgi-bin classiques et de points d'acces CGI herites (.cgi, .exe, .pl, .cfm). Utile pour decouvrir des gestionnaires CGI herites vulnerables sur d'anciens serveurs web.

Le corpus complet de mots de passe courants en langue chinoise, l'ensemble complet classé par fréquence dont sont issus les paliers top-N chinois.

Les 10 000 mots de passe les plus courants chez les utilisateurs chinois, classés par fréquence, incluant des motifs comme 5201314 et 7758521. Utile pour cibler les comptes sinophones.

Les 1 000 000 mots de passe en langue chinoise les plus fréquents, classés par fréquence, incluant des motifs de numéros de téléphone et des séquences numériques culturellement spécifiques (par ex. 5201314).

Noms de comptes par défaut et intégrés collectés à partir de la base de données de mots de passe par défaut cirt.net. Utile pour pulvériser les comptes vendeur/admin courants sur de nombreux appareils et services.

Mots de passe par défaut agrégés à partir de la base de données de mots de passe par défaut de CIRT.net. Idéal pour les vérifications d'identifiants par défaut sur de nombreux appareils.

Identifiants par défaut connus pour les produits Citrix tels que NetScaler (nsroot) et Unidesk. Petite liste à forte valeur pour tester les connexions des appliances Citrix.

Chemins vers les fichiers de configuration des CMS courants (wp-config.php, configuration.php, settings.php, app/etc/env.php) pour traquer la divulgation de configurations contenant des identifiants.

Une grande liste de 653 920 entrées fusionnant plusieurs sources de sous-domaines pour une couverture maximale. À exécuter de préférence avec un résolveur rapide tel que puredns pour une énumération approfondie.

Payloads d'injection de commandes combinant séparateurs shell, quoting et sauts de ligne encodés avec des commandes comme id et cat /etc/passwd. Pour détecter l'exécution de commandes OS dans les paramètres web.

Grand ensemble de payloads d'injection de commandes OS générés dans le style de l'outil Commix, utilisant des sondes à marqueur echo et de nombreuses combinaisons de séparateurs/encodages. Pour détecter les points d'injection de commandes shell.

Noms de comptes privilégiés courants (root, administrator, superuser, etc.) chacun associé à son encodage Base64, utiles pour l'authentification HTTP Basic et autres champs d'identifiants encodés en base64. Le format est plaintextname:base64name par ligne.

Liste compacte de Mazen Gamal regroupant les chemins de points d'accès et de versions d'API courants pour une énumération rapide de la surface d'API.

Les 10 000 mots de passe les plus courants compilés par Mark Burnett. Une liste de référence rapide et au taux de réussite élevé pour toute attaque par mot de passe.

Liste ciblée de noms de fichiers de sauvegarde de bases de données courants et d'extensions d'archives (sql, tar.gz, zip, 7z, etc.). Utile pour traquer les dumps de bases de données exposés laissés sur des serveurs web.

Liste des ports de service HTTP/HTTPS courants pour la découverte de services web et le fuzzing par ports sur les ports web non standard.

Vaste collection de noms de fichiers .php courants rencontrés dans les applications et frameworks PHP. Adaptée à l'énumération des sites basés sur PHP.

Une liste courte et à forte valeur des chaînes de communauté SNMP par défaut les plus courantes (public, private, valeurs par défaut des fournisseurs) pour des vérifications rapides d'identifiants SNMP.

La version prête pour onesixtyone de la liste de chaînes de communauté SNMP par défaut courantes, pour un scan rapide des services SNMP avec onesixtyone.

Le classique common.txt de SecLists contenant des chemins web fréquemment rencontrés, y compris des dotfiles, des dossiers de gestion de versions et des endpoints d'administration. Une wordlist par défaut fiable pour la découverte quotidienne.

Extensions de fichiers compressés et d'archives (7z, zip, tar, gz, rar, arj, etc.) pour traquer les sauvegardes et fichiers d'archive exposés sur les serveurs web.

Payloads d'injection CRLF utilisant divers encodages du retour chariot/saut de ligne pour injecter un en-tête Set-Cookie. Pour tester le response splitting HTTP et l'injection d'en-têtes.

Préfixes de schéma/protocole d'URL pris en charge par curl (file, gopher, dict, ftp, etc.) pour sonder les failles de SSRF et d'analyse d'URL.

Top 10 000 des mots de passe agrégés à partir de fuites du dark web en 2017. Bon complément moderne aux anciennes listes de mots de passe courants.

La wordlist classique darkc0de, un grand dictionnaire mixte de mots de passe, de mots du dictionnaire et de séquences de symboles, longtemps fournie avec les distributions de pentest.

Chaînes de correspondance de motifs pour détecter les messages d'erreur de bases de données, d'ASP.NET et de serveurs dans les réponses HTTP, utiles pour les listes grep de détection de SQLi et de fuites d'erreurs.

Chaque date de 1900 à 2020 au format DDMMYYYY. Efficace contre les mots de passe de type date de naissance et les tentatives de motifs numériques de PIN.

Séquences de traversée de chemin ../ profondément imbriquées pour atteindre des fichiers situés plusieurs niveaux de répertoires au-dessus de la racine web.

Les 500 principaux préfixes DNS compilés par deepmagic.com à partir de données de DNS inversé à grande échelle. Une liste minuscule et de passage rapide, utile pour les schémas de nommage des FAI et des infrastructures.

Les 50 000 principaux préfixes DNS compilés par deepmagic.com à partir de données de DNS inversé à grande échelle. Une liste étendue, solide sur les conventions de nommage des FAI, de l'hébergement et des infrastructures.

Liste sélectionnée de mots de passe par défaut de fournisseurs/appareils. À utiliser contre les routeurs, l'IoT et les équipements livrés avec des identifiants d'usine.

La plus petite liste de répertoires DirBuster 2.3, un ensemble de chemins sensibles à la casse, classés par priorité et trouvés sur au moins 3 hôtes différents. Un point de départ rapide et discret pour la force brute de répertoires.

La variante entièrement en minuscules de la liste de répertoires DirBuster 2.3 medium, utile contre les serveurs web insensibles à la casse. Classée par priorité selon les entrées trouvées sur au moins 2 hôtes différents.

La petite liste de répertoires DirBuster 2.3 entièrement en minuscules pour les cibles insensibles à la casse. Les entrées sont classées par priorité et ont été trouvées sur au moins 3 hôtes différents.

La liste originale, première ébauche de DirBuster 1.0, non ordonnée et sensible à la casse, contenant les entrées trouvées sur au moins deux hôtes. Une vaste liste héritée de découverte de répertoires/fichiers.

La liste complète et sensible à la casse de force brute de répertoires/fichiers DirBuster 2.3, classée par priorité avec les entrées trouvées sur au moins un hôte. La grande liste de référence pour la découverte de contenu web.

La légendaire liste « medium » de DirBuster, regroupant des noms de répertoires et de fichiers classés selon leur fréquence d'apparition réelle. La wordlist par défaut pour un brute-force approfondi de répertoires web.

La variante insensible à la casse (tout en minuscules) de la grande liste complète DirBuster 2.3, classée par priorité. Utile contre les serveurs web insensibles à la casse pour réduire les requêtes en double.

Payloads de traversée de chemin/répertoire ciblant le fichier Windows win.ini avec de nombreuses variantes d'encodage et de double encodage des séquences ../ et antislash. Pour tester les filtres de traversée de chemin et le contournement de WAF.

Chemins de fichiers et de repertoires derives de l'arborescence source de Django CMS / du framework Django, incluant les chemins d'administration, de gabarits et de modules Python. Utile pour la decouverte de contenu sur des sites bases sur Django.

Les 1 000 labels de sous-domaines les plus fréquemment observés, sélectionnés par le projet dnscan, idéaux pour un brute-forcing de sous-domaines rapide et à fort taux de réussite.

Les 10 000 principaux labels de sous-domaines du projet dnscan, une liste plus large classée par fréquence pour une découverte plus approfondie de sous-domaines DNS.

La namelist de brute-force de sous-domaines par défaut fournie avec l'outil d'énumération dnsrecon, mêlant préfixes numériques et noms d'hôtes de services courants.

Les 5 000 labels de sous-domaines les plus courants de dnsrecon, dérivés du jeu de données top-1-million, une liste équilibrée de taille moyenne pour le brute-forcing de sous-domaines.

Points de terminaison de l'API distante du Docker Engine (containers/json, images, build, exec, debug/pprof) pour sonder les démons Docker exposés.

Chemins de fichiers et de répertoires du CMS DotNetNuke (DNN) (conteneurs d'administration, skins, modules, install) pour énumérer les installations DNN.

Les 256 valeurs d'octets doublement encodées en URL (%25xx) pour tester les bugs de double décodage, le contournement de WAF et l'évasion de filtres.

Liste différentielle d'URL des fichiers livrés avec Drupal 7.20 (includes, modules, themes) pour identifier les chemins du cœur de Drupal.

Liste des chemins de repertoires de themes Drupal sous themes/. Utile pour enumerer les themes Drupal installes lors d'evaluations de CMS et d'identification de version.

Liste complète des fichiers du cœur, des modules, des thèmes et des fichiers de traduction de Drupal. Conçue pour une énumération approfondie des sites propulsés par Drupal.

Points de terminaison API Elasticsearch et Kibana (_all, _cat, _search, api/saved_objects) pour énumérer les interfaces de stack ELK exposées.

Mots de passe divulgues lors de la fuite du forum EliteHacker. Une liste compacte, teintee de la culture de la communaute securite, utile pour le cassage et le devinement d'identifiants.

Les 100 principaux domaines de fournisseurs de messagerie, utiles pour générer des payloads email/IDN, des tests d'énumération de comptes et le fuzzing de parseurs d'emails.

Mots de passe issus de la compromission de la communauté d'écriture chrétienne FaithWriters, riche en termes religieux et liés à la foi. Utile pour cibler les motifs de mots de passe à thème religieux.

Top 1000 des noms de famille américains les plus courants. Utile pour générer des noms d'utilisateur candidats et pour le password-spraying / l'énumération de comptes AD dans les conventions de nommage basées sur le nom de famille.

Top 1000 des prénoms féminins américains les plus courants. Utile pour construire des permutations de noms d'utilisateur et pour l'énumération d'utilisateurs Active Directory dans les schémas basés sur le prénom.

La liste de brute-force de sous-domaines intégrée, livrée avec l'outil moderne de reconnaissance DNS Python fierce, couvrant les noms d'hôtes courants et les préfixes numériques.

La liste classique de 2 280 noms d'hôtes livrée avec l'outil de reconnaissance DNS Fierce. Une petite liste de départ regroupant les préfixes d'hôtes courants.

Extensions de contournement de filtres d'upload de fichiers PHP (doubles extensions, .php3-.php8, .pht, .phar, .phtml) pour tester les gestionnaires d'upload non sécurisés.

Top 150 des mots de passe en langue finnoise les plus courants, issus du jeu de donnees Pwdb, incluant des grossieretes locales et des motifs de clavier. Utile pour le devinement d'identifiants propre a la locale finlandaise.

Top 1000 des prénoms indiens les plus courants. Utile pour la génération de noms d'utilisateur spécifique à une région et l'énumération de comptes contre des organisations basées en Inde.

Payloads d'attaque par chaîne de format (%p, %x, %n et variantes répétées/longues) pour sonder les vulnérabilités printf de style C. Pour tester les back ends natifs et les points de journalisation.

Mots de passe VPN ayant fuité dans le dump Fortinet SSL-VPN de 2021. Très pertinents pour tester la réutilisation d'identifiants en entreprise/VPN.

L'ensemble des 10 000 codes PIN à quatre chiffres triés par fréquence réelle avec le nombre d'occurrences. À utiliser pour la force brute de codes PIN ou les masques applicables aux PIN à 4 chiffres.

Les 20 000 mots de passe francophones les plus courants, classés par fréquence, incluant des motifs de clavier français comme azerty. Idéal pour les cibles francophones.

Combinaisons user:password sélectionnées pour les services FTP, couvrant les valeurs par défaut courantes des fabricants et des appliances. Prête à l'emploi pour les outils de force brute FTP qui acceptent des paires d'identifiants séparées par deux-points.

Liste complète de noms de classes Java pleinement qualifiés, utile pour la désérialisation Java, la découverte de gadgets JNDI/Log4j et le fuzzing de paramètres de noms de classes.

Chemins prévisibles pour Microsoft Active Directory Federation Services (ADFS), incluant App_Code, les fichiers de ressources et les assets resx localisés. Aide à identifier et découvrir le contenu sur les portails ADFS.

Charges utiles d'injection SQL en aveugle basées sur le temps pour les clauses WHERE de MSSQL utilisant WAITFOR DELAY à travers des contextes d'échappement de guillemets et de parenthèses progressifs.

Charges utiles d'injection SQL en aveugle basées sur le temps pour les clauses WHERE de MySQL utilisant des délais BENCHMARK() à travers divers contextes d'échappement de guillemets/parenthèses.

Noms de fichiers associés aux panneaux de commande et contrôle (C2) de malwares/botnets et aux fichiers PHP déposés. Aide à localiser les panneaux C2 et les artefacts de backdoor sur les serveurs compromis.

Noms de méthodes/actions d'application courants (add, admin, auth, change, delete, etc.) pour le fuzzing de points de terminaison de logique métier cachés, de méthodes RPC et d'actions non documentées.

Vaste liste multiplateforme de scripts CGI et de chemins de requête CGI connus comme vulnérables pour le fuzzing à l'intérieur des répertoires cgi-bin et de scripts. Inclut des exploits CGI hérités et des sondes de traversée.

Exécutables CGI spécifiques à Windows et chemins de scripts connus pour être vulnérables (cart32.exe, sondes cmd.exe, fpsrvadm.exe) pour le fuzzing des répertoires cgi/scripts de type IIS.

Noms de ressources REST/API courants et verbes d'action (account, balance, block, change, check) pour le fuzzing des points de terminaison d'API et des noms de méthodes. Utile pour découvrir des routes d'API non documentées.

Charges utiles d'injection CRLF pour le découpage de réponse HTTP et l'injection d'en-têtes utilisant des séquences encodées de retour chariot/saut de ligne, du XSS UTF-7 et de la contrebande de Content-Type.

Extensions de fichiers PHP alternatives et variantes de casse/octet nul/caractère final (phtml, php3, pHp%00, etc.) pour contourner les filtres de téléversement afin de parvenir à l'exécution de code.

Charges utiles d'attaque par chaîne de format combinant des spécificateurs de conversion de style printf (%s, %p, %x, %n) en longues séquences répétitives pour sonder les vulnérabilités de chaîne de format et la divulgation de mémoire.

Chemins prévisibles exposés par Microsoft FrontPage Server Extensions, incluant les DLL author/admin, les fichiers d'identifiants .pwd et les artefacts _fpclass. Utile pour l'identification d'IIS/FrontPage hérités.

Méthodes de requête HTTP comprenant les verbes standard et les méthodes WebDAV/d'extension pour tester les contournements de contrôle d'accès basés sur la méthode et la falsification de verbe.

Valeurs entières limites (limites 32 bits signées/non signées en décimal et hexadécimal) pour tester les conditions de dépassement d'entier et d'erreur d'unité près des numériques.

Documents JSON malformés et limites (octets nuls, tableaux imbriqués, clés de pollution de prototype/classe, structures surdimensionnées) pour soumettre à rude épreuve les analyseurs JSON et les points de terminaison d'API.

Vaste liste polyvalente de noms de répertoires web courants pour la découverte de contenu par force brute sur n'importe quel serveur web. Une wordlist de répertoires fourre-tout couvrant les nombres, les zones d'administration et les dossiers d'application typiques.

Métacaractères d'injection LDAP et charges utiles d'échappement de filtre sous formes brute et encodée en URL, incluant les filtres d'énumération par caractère générique et objectClass.

Noms de fichiers de pages de connexion et d'administration courants à travers plusieurs langages et extensions (asp, aspx, cfm, jsp, php, pl, py, rb). Idéal pour localiser rapidement les points de terminaison d'authentification.

Bases de données .nsf prévisibles et exécutables adm-bin exposés par les serveurs IBM Lotus Notes/Domino. Cible les bases de données sensibles et les interfaces d'administration lors de la découverte.

Charges utiles d'injection NoSQL MongoDB utilisant l'évaluation JavaScript $where, les opérateurs $ne/$or et des astuces de correspondance regex pour contourner l'authentification et extraire des données.

Charges utiles de détection d'injection Microsoft SQL Server comprenant des terminateurs de commentaires, des sondes xp_cmdshell et des tests de divulgation @@version basés sur UNION.

Ensemble succinct de chaînes de détection d'injection SQL orientées MySQL utilisant des tests booléens et d'échappement de guillemets pour identifier les paramètres injectables.

De nombreux encodages de l'octet nul (%00, \0, \x00, \u0000, etc.) pour tester l'injection d'octet nul, la troncature de chaîne et les conditions de contournement de filtre.

Chaînes de requête et variantes de chemin de redirection ouverte sous forme de modèle (url=, next=, // sans schéma, slashs encodés) avec un espace réservé {target} pour l'hôte de destination contrôlé par l'attaquant.

Charges utiles de détection et hors bande d'injection SQL spécifiques à Oracle exploitant utl_http, utl_inaddr.get_host_address et les requêtes sur le catalogue SYS pour les tests basés sur les erreurs et l'exfiltration.

Préfixes/séparateurs d'injection de commandes système sous forme de modèle utilisant un espace réservé {cmd}, couvrant les délimiteurs shell, les redirections et les échappements encodés en CRLF. Substituez votre commande dans le modèle avant de lancer le fuzzing.

Emplacements prévisibles de fichiers de mots de passe et d'identifiants tels que htpasswd, passwd, secring et config.php. Cible les secrets exposés lors de la découverte de contenu web.

Charges utiles de traversée de répertoires jusqu'à 8 niveaux de profondeur utilisant des encodages exotiques et mixtes (hexadécimal, URL, double encodage, variantes slash/antislash) avec un espace réservé {FILE} pour le fichier cible.

Chaînes magiques de hachage PHP qui produisent des motifs 0e..., exploitant les comparaisons laxistes (==) par jonglage de types pour contourner l'authentification et les vérifications de hachage.

Liste exhaustive de chemins de fichiers et de répertoires prévisibles pour le CMS PHP-Nuke, incluant les scripts d'administration, les modules, les blocs et les fichiers de langue. Utile pour l'identification d'empreinte et la découverte de contenu sur les installations PHP-Nuke.

Directives d'injection Server-Side Includes (SSI) (#config, #echo, #exec, #include) pour tester le traitement SSI et la divulgation d'informations sur les serveurs web.

Servlets prévisibles, applications d'exemple JSP et points de terminaison d'administration pour Sun Application Server et GlassFish. Aide à identifier et découvrir le contenu sur ces serveurs d'applications Java.

Fichiers cachés Unix (dotfiles) couramment exposés par des racines web mal configurées, incluant .bash_history, .htaccess, .ssh et .DS_Store. Certaines entrées sondent également des vulnérabilités connues liées aux dotfiles.

Noms de fichiers couramment utilisés par les web shells et backdoors téléversés, ainsi que les fichiers de configuration sensibles ciblés par les attaquants. Utile pour détecter les hôtes compromis ou découvrir des backdoors implantées.

Liste de noms de commandes shell Windows utiles pour tester les points d'injection de commandes et valider l'exécution de code à distance sur des cibles Windows.

Charges utiles d'attaque XML comprenant des lectures de fichiers par entité externe XXE (/etc/passwd, boot.ini, déni de service via /dev/random), des SQLi/XSS enveloppées en CDATA et des injections d'îlots de données MS.

Charges utiles d'injection XPath utilisant des tautologies booléennes, des expressions de comptage de nœuds et des sondes name() pour contourner l'authentification et énumérer la structure des documents XML.

Le polyglotte XSS d'Ashar Javed et ses fragments composants enveloppés dans de nombreux contextes HTML (input, img, a, math, iframe, style, textarea) pour se déclencher dans plusieurs points d'injection à la fois.

Charges utiles XSS multi-navigateurs détournant des gestionnaires de schémas URI personnalisés (aim:, firefoxurl:, navigatorurl:, res:) pour parvenir à l'exécution de script ou au lancement de commande locale.

Payloads d'injection SQL en aveugle basés sur le temps, utilisant sleep() et WAITFOR DELAY dans plusieurs contextes de quotes et de parenthèses. Conçus pour les attaques par inférence où aucune sortie d'erreur n'est renvoyée.

Sondes d'injection SQL agnostiques vis-à-vis du SGBD, mêlant des payloads basés sur les erreurs, booléens, temporels et à requêtes empilées. Une bonne liste polyvalente de détection pour des back ends inconnus.

Le corpus complet de mots de passe courants en langue allemande, l'ensemble complet classé par fréquence dont sont issus les paliers top-N allemands.

Les 10 000 mots de passe germanophones les plus courants, classés par fréquence. Utile pour cibler les utilisateurs germanophones et les comptes de la région DACH.

Les 1 000 000 mots de passe en langue allemande les plus fréquents, classés par fréquence, utiles pour cibler des populations d'utilisateurs germanophones (par ex. passwort, schalke04).

Dorks de recherche GitHub ciblant les clés d'API, identifiants et fichiers de configuration divulgués dans les dépôts de code source publics.

Points de terminaison d'administration et d'instance GitLab (admin/application_settings, audit_events, deploy_keys) pour énumérer les serveurs GitLab auto-hébergés.

Points de terminaison d'administration et d'API Grafana (admin/users, api/datasources, api/dashboards) pour énumérer les tableaux de bord et les paramètres Grafana.

Chemins de points d'accès et d'IDE GraphQL courants (graphql, graphiql, altair, playground) pour localiser les interfaces GraphQL.

Top 150 des mots de passe en langue grecque les plus courants, issus du jeu de donnees Pwdb. Utile pour des attaques propres a la locale contre des cibles grecques.

Mots de passe ayant fuité lors d'une compromission du forum Hak5. Une petite liste de fuite issue du monde réel, utile pour les tests et pour compléter de plus grandes listes.

Points de terminaison de l'API HTTP de HashiCorp Consul pour découvrir les interfaces exposées de maillage de services, de magasin clé-valeur (KV) et de gestion d'agents.

Top 150 des mots de passe de locale hebraique les plus courants, issus du jeu de donnees Pwdb. Utile pour le devinement d'identifiants contre des utilisateurs israeliens / hebraophones.

Paires nom d'utilisateur,mot de passe capturées par le honeypot Heralding en 2019. Représente ce que les attaquants automatisés tentent réellement dans la nature.

Top 150 des mots de passe hindi / region indienne les plus courants, issus du jeu de donnees Pwdb. Utile pour des attaques adaptees a la locale contre des cibles indiennes.

Mots de passe capturés par des capteurs honeypot/honeynet observant de réelles tentatives de connexion d'attaquants. Excellent pour les identifiants par défaut et ceux ciblés par les bots.

Mots de passe captures sur de multiples sondes de pots de miel (fabian-fingerle.de), refletant ce que tentent reellement les attaquants automatises. Tres efficace pour simuler les attaques par identifiants par defaut / bots et le force brute SSH.

Noms d'utilisateur réellement observés lors de tentatives de connexion sur des honeypots en production, agrégés à partir de plusieurs sources par fabian-fingerle.de. Reflète les suppositions de noms d'utilisateur réelles des attaquants contre des services exposés.

Mots de passe issus de la fuite par hameconnage de Hotmail en 2009, avec une forte proportion d'utilisateurs hispanophones. Utile pour le cassage de mots de passe de comptes email reels.

Wordlist Burp Param Miner de noms d'en-têtes HTTP en minuscules, pour l'injection d'en-têtes, la découverte d'en-têtes cachés, les attaques sur l'en-tête Host, les tests CORS et de cache poisoning.

Liste de méthodes/verbes de requête HTTP incluant WebDAV et des verbes peu courants, utile pour le HTTP verb tampering, le contournement de contrôle d'accès basé sur la méthode et les tests 403/405.

Mots de passe par défaut livrés sur les routeurs Huawei et les passerelles ONT/HGW. Liste spécifique au fournisseur pour tester les connexions des équipements Huawei.

Top 150 des mots de passe en langue hongroise les plus courants, issus du jeu de donnees Pwdb. Utile pour des attaques propres a la locale contre des cibles hongroises.

Paires user:password par défaut pour les instances IBM DB2 (db2inst1, db2admin, dasusr1, etc.). Cible les comptes de service DB2 prêts à l'emploi.

Fichiers de base de données .nsf d'IBM Lotus Domino (names.nsf, admin4.nsf, log.nsf, webadmin.nsf) pour énumérer les bases de données Domino exposées.

Points d'accès d'IBM WebSphere Application Server, motifs de servlets et chemins d'applications d'exemple (.do, .jsp, services/*, WSDL). Utile pour énumérer les surfaces d'administration et d'applications d'exemple de WebSphere.

Chemins spécifiques à Microsoft IIS, exemples d'applications ASP et charges utiles classiques de traversée de répertoires. Ciblé pour l'énumération des serveurs web Windows/IIS.

Top 150 des mots de passe en langue indonesienne les plus courants, issus du jeu de donnees Pwdb. Utile pour des attaques adaptees a la locale contre des cibles indonesiennes.

Les 150 mots de passe italophones les plus courants, dérivés du jeu de données Pwdb, incluant des clubs de football et des prénoms italiens. Une liste rapide et ciblée pour les cibles italiennes.

Une wordlist de sous-domaines ciblée par région, comptant 20 000 noms d'hôtes couramment observés sur le DNS des organisations italiennes, utile pour le brute-forcing localisé de sous-domaines.

Fichiers descripteurs J2EE WEB-INF et META-INF (web.xml, jboss-app.xml, ejb-jar.xml) pour sonder les éléments internes de déploiement Java EE exposés.

Top 150 des mots de passe de locale japonaise les plus courants, issus du jeu de donnees Pwdb. Utile pour le devinement d'identifiants contre des utilisateurs japonais.

Points de terminaison d'administration JBoss/WildFly tels que jmx-console, web-console et le JMXInvokerServlet, utilisés pour énumérer les serveurs d'applications JBoss.

Points de terminaison CI Jenkins/Hudson (script console, cli, configure, credentials, asynchPeople) pour découvrir les interfaces de gestion Jenkins.

La wordlist classique livrée par défaut avec le cracker de mots de passe John the Ripper. Une liste petite et rapide de mots de passe courants et de mots du dictionnaire.

Liste des chemins de composants Joomla sous components/com_*. Utile pour énumérer les extensions Joomla installées lors d'évaluations de CMS.

Corps JSON malformés et cas limites pour le fuzzing des parseurs JSON et des points de terminaison d'API, incluant des octets nuls, de la confusion de types et des structures imbriquées. Pour les tests de robustesse et d'injection des API JSON.

Points de terminaison de callback JSONP réels (Google, Yandex, VK, etc.) exploitables pour le XSS via domaine en liste blanche, le contournement CORS/CSP et le smuggling de source de script.

Motifs de marche au clavier (keyboard walk) générés (par ex. zaq1xsw2). Cible les mots de passe construits à partir de séquences de touches adjacentes sur le clavier.

Points de terminaison admin/realm de gestion des identités et des accès Keycloak pour énumérer les realms, les clients, les utilisateurs et les mappages de rôles.

Points de terminaison du serveur d'API Kubernetes (api, apis, version, healthz, metrics) pour sonder les interfaces kube-apiserver et kubelet exposées.

Chemins de fichiers et de repertoires courants du framework Laravel (bootstrap, routes, config, artisan, .env.example) deployes sur plusieurs niveaux de profondeur. Utile pour identifier les applications Laravel et reperer les fichiers de configuration ou d'environnement exposes.

Noms d'attributs LDAP Active Directory (accountExpires, member, userPrincipalName, etc.) pour l'énumération LDAP et le fuzzing par injection.

Noms de classes d'objets LDAP Active Directory (account, group, user, organizationalUnit, etc.) pour l'énumération de schéma et le fuzzing LDAP.

Métacaractères et payloads de filtre d'injection LDAP (bruts et encodés en URL) tels que les filtres objectclass/mail à joker. Pour tester l'authentification et la recherche s'appuyant sur un annuaire.

Noms d'attributs OpenLDAP pour l'énumération d'annuaire et le fuzzing de requêtes/injections LDAP contre les services basés sur OpenLDAP.

Chemins cibles d'inclusion de fichiers locaux avec un octet nul %00 ajouté pour contourner les filtres ajoutant une extension dans les gestionnaires include() vulnérables.

Payloads d'inclusion de fichier local (LFI) ciblant à la fois les fichiers de logs et de configuration Linux et Windows, avec des variantes de traversée de répertoire et d'octet nul.

Un large catalogue de fichiers Linux intéressants à cibler via l'inclusion de fichier locale (LFI), des fichiers de configuration aux magasins d'identifiants. Idéale pour énumérer les fichiers lisibles à travers un point d'injection LFI.

Payloads de chemins à tester pour l'inclusion de fichier locale (LFI) issus de LFISuite, couvrant les fichiers Unix/Linux courants et les astuces de wrappers PHP/proc. Utile pour le fuzzing de paramètres afin de détecter la divulgation de fichiers.

La sélection de Jhaddix de payloads d'inclusion de fichier local (LFI) et de path-traversal (/etc/passwd encodé, boot.ini, et bien d'autres). À injecter dans la position de paramètre d'un fuzzer pour tester les vulnérabilités LFI et de traversée de répertoires.

Grande liste de chemins de fichiers absolus Windows sensibles (logs, configuration, ruches du registre) pour les tests d'inclusion de fichier local (LFI) et de traversée de chemin.

URL de gestion des portlets du panneau de controle de Liferay DXP (group/control_panel/manage?p_p_id=...). Utile pour enumerer les portlets par defaut accessibles sur un portail Liferay DXP.

Mots de passe issus de la base de données fuitée du service de booter LizardStresser de Lizard Squad. Un instantané des mots de passe choisis par les utilisateurs d'une plateforme de DDoS à louer.

Charges utiles de contournement d'authentification combinant injection SQL, identifiants par défaut et astuces logiques pour le fuzzing des formulaires de connexion.

Cartographie des fichiers et répertoires de la plateforme e-commerce Magento (skin, media, app, includes, downloader) pour énumérer les installations de boutiques Magento.

Top 1000 des prénoms masculins américains les plus courants. Utile pour générer des noms d'utilisateur candidats et pour le password-spraying / l'énumération de comptes AD dans les conventions de nommage basées sur le prénom.

Chaînes pour repérer les shells de porte dérobée, les rootkits et les fonctions PHP dangereuses (system, eval, base64_decode) dans le code source ou les réponses lors des scans de détection.

Un grand dictionnaire de mots de passe en clair récupérés par le service md5decrypter.co.uk, utile pour le cassage de hachages MD5 et de hachages en général.

Caractères spéciaux et séquences de métacaractères (entités XML, spécificateurs de format, marqueurs nuls, balisage cassé) pour le fuzzing général de la gestion des entrées et des injections. Un fourre-tout pour déclencher des erreurs de parseur.

Payloads d'injection NoSQL spécifiques à MongoDB utilisant les opérateurs $where, $ne, $or et l'évaluation JavaScript, pour le contournement d'authentification et l'extraction en aveugle.

Liste minimale des extensions web exécutables les plus courantes (variantes php, asp, jsp) pour un fuzzing rapide.

Une vaste liste des chaines de mots de passe alphabetiques / prefixees de symboles les plus populaires. Utile comme dictionnaire d'appoint general pour le cassage hors ligne.

Combinaisons user:password par défaut pour Microsoft SQL Server, incluant de nombreuses valeurs par défaut du compte sa issues d'applications livrées. Idéale pour tester les identifiants contre des instances MSSQL exposées.

Payloads d'injection spécifiques à Microsoft SQL Server incluant l'exécution via xp_cmdshell, la création de login/rôle et les unions de divulgation de version. Cible les back ends confirmés comme étant MSSQL.

Noms de comptes Microsoft SQL Server observés dans la campagne Nansh0u analysée par Guardicore. Une liste courte et à fort signal de comptes de service ciblés contre des instances MSSQL exposées.

Mots de passe récupérés lors de la compromission du site de rencontres muslimMatch, contenant de nombreux termes à thème islamique et arabe. Utile pour le profilage de mots de passe propre à une communauté.

Mots de passe issus de la compromission de MySpace, remarquables pour leurs motifs de chiffres en fin de chaîne (par ex. name1). Utiles pour étudier les contournements de politiques de complexité.

Combinaisons user:password par défaut pour MySQL/MariaDB, principalement des valeurs par défaut du compte root livrées par des appliances et des applications. Prête à l'emploi pour tester les identifiants contre des services MySQL exposés.

La variante « huge » de 3 millions d'entrées de la liste de sous-domaines de n0kovo, construite à partir de milliards de noms DNS observés et classée par fréquence. Conçue pour la force brute DNS de masse avec puredns.

La variante « medium » de 500 000 entrées de la liste de sous-domaines de n0kovo classée par fréquence, un choix équilibré entre couverture et vitesse pour la force brute DNS.

La liste des 100 000 mots de passe les plus compromis (issus de Have I Been Pwned) établie par le National Cyber Security Centre du Royaume-Uni. Excellente couverture générale des mots de passe faibles rencontrés dans le monde réel.

Mots de passe issus d'une fuite par credential stuffing de NordVPN. De vrais mots de passe d'utilisateurs, utiles comme petite liste complémentaire.

Top 150 des mots de passe en langue norvegienne les plus courants, issus du jeu de donnees Pwdb. Adapte pour cibler les utilisateurs norvegiens lors de missions regionales.

Payloads d'injection NoSQL (principalement MongoDB) utilisant les opérateurs $where, $ne, $or et les expressions JavaScript match(). Pour tester les bases de données documentaires et les API JSON.

Charges utiles d'injection MongoDB/NoSQL utilisant les opérateurs $where, $ne et $or pour contourner l'authentification et extraire des données.

La version « short » de OneListForAll, une méga-fusion dédupliquée de nombreuses listes de fuzzing/contenu (SecLists, assetnote, fuzzdb et bien d'autres) pour une découverte de contenu web en une seule passe.

Payloads de redirection ouverte utilisant l'encodage URL, les barres obliques inverses et les astuces de préfixe de barre oblique pour contourner la validation de redirection et atteindre des domaines contrôlés par l'attaquant.

Payloads de contournement de redirection ouverte exploitant des techniques d'évasion de liste blanche (astuces avec @, slashes encodés, doubles slashes) contre un domaine d'exemple whitelisteddomain.tld. Conçus pour fuzzer les paramètres de redirection/return-url.

Chemins de fichiers et de repertoires du panier d'achat OpenCart, deployes sur tous les niveaux de profondeur, generes par Trickest a partir de l'arborescence source d'OpenCart. Utile pour enumerer les modeles d'administration OpenCart, les fichiers de catalogue et la structure de la boutique.

La wordlist Openwall fusionnée toutes langues, un grand dictionnaire multilingue historiquement distribué par le projet Openwall/John the Ripper.

Points d'accès d'administration de l'interface web LuCI d'OpenWrt (cgi-bin/luci/admin/*) pour découvrir et énumérer les surfaces de gestion des routeurs OpenWrt.

Noms de systèmes d'exploitation et de distributions pour le fuzzing des paramètres de user-agent, de bannière et d'identification de plateforme.

Chemins d'administration et de gestion (admin-serv, admpw, dsgw) pour les serveurs web Oracle/Sun iPlanet (Netscape).

Noms de servlets et de points d'accès d'exemple exposés par Oracle 9i Application Server pour l'identification et la découverte.

Chemins d'administration, de servlets et de consoles d'Oracle Application Server (BPELConsole, EMDServlet, isqlplus, etc.) pour énumérer les middlewares Oracle.

Liste exhaustive de combinaisons user:password par défaut pour Oracle Database, incluant les valeurs par défaut du compte SYSTEM et des comptes applicatifs. Idéale pour tester les identifiants contre des listeners TNS Oracle.

Wordlist de points d'accès Oracle E-Business Suite (OA_HTML, _pages, admin) pour énumérer les déploiements web Oracle EBS.

Payloads d'injection SQL spécifiques à Oracle exploitant UTL_HTTP, l'exfiltration hors bande via UTL_INADDR et les constructions PL/SQL. Pour sonder les back ends Oracle DB.

Chemins de console, de déploiement et de servlets Oracle WebLogic pour énumérer les serveurs d'applications WebLogic et les interfaces d'administration.

La classique base de données de mots de passe par défaut Phenoelit, contenant des paires user:password de fournisseurs et couvrant des centaines d'équipements réseau et embarqués. Jeu de référence de longue date pour tester les identifiants par défaut.

Segments de chaînes de filtres PHP convert.iconv utilisés dans les attaques php://filter de type LFI-to-RCE et les attaques par oracle de lecture de fichiers en aveugle contre les wrappers PHP.

Chaînes de « magic hash » qui s'évaluent comme faiblement égales lors du type juggling de PHP, utilisées pour contourner les comparaisons de hachage faibles avec ==.

Noms de méthodes magiques PHP (__wakeup, __destruct, __toString, etc.) pour la chasse aux gadgets d'injection d'objets PHP / désérialisation non sécurisée et la revue de code source.

Mots de passe issus de la compromission du forum phpBB. Une solide liste de fuite de taille moyenne issue du monde réel pour le cassage généraliste.

Chemins de fichiers et de repertoires du logiciel de forum phpBB, deployes sur tous les niveaux de profondeur, generes par Trickest a partir de l'arborescence source de phpBB. Utile pour enumerer les fichiers du forum phpBB, la configuration et les chemins d'administration.

Une liste d'environ un million d'entrées de mots de passe polonophones courants, incluant des noms et mots polonais comme polska et misiek. Utile pour casser les comptes d'utilisateurs polonais.

Top 150 des mots de passe portugais et portugais bresiliens les plus courants, issus du jeu de donnees Pwdb. Ideal pour les missions concernant le Portugal ou le Bresil.

Combinaisons user:password par défaut pour PostgreSQL, couvrant les valeurs par défaut courantes des comptes postgres et admin. Prête à l'emploi pour tester les identifiants contre des services Postgres exposés.

Instructions SELECT de divulgation d'informations pour PostgreSQL permettant d'énumérer la version, l'utilisateur/la base courante et les paramètres du serveur une fois l'injection confirmée. Utile après détection sur des back ends Postgres.

Ensemble complet de chemins de fichiers et de repertoires de la solution e-commerce PrestaShop, deployes sur tous les niveaux de profondeur, generes par Trickest a partir de l'arborescence source de PrestaShop. Utile pour identifier et enumerer les installations PrestaShop et les controleurs d'administration.

Échantillon du projet Probable-Wordlists de Berzerk0, classé par fréquence réelle. À utiliser comme liste généraliste de taille moyenne et efficace.

Les 1 575 premieres entrees du jeu de donnees Probable-Wordlists v2 classe par frequence. Un palier rapide a fort taux de reussite pour le devinement en ligne et les passes hors ligne rapides.

Le palier Top 304 Thousand des Probable-Wordlists v2 de berzerk0, classé statistiquement à partir de milliards de mots de passe réellement divulgués pour un cassage à fort taux de réussite.

Points de terminaison d'API Prometheus et Alertmanager (api/v1/query, targets, alerts, admin/tsdb) pour sonder les backends de monitoring exposés.

Emplacements courants et mutations de noms de fichiers pour les fichiers de configuration automatique de proxy (.pac, proxy.pac) exposés sur les serveurs web.

Points de terminaison VPN Pulse Secure / Ivanti Connect Secure (dana-admin, dana-na, hc.cgi) pour énumérer les appliances Pulse Secure.

Les 1 000 000 mots de passe les plus fréquents du jeu de données agrégé de fuites Pwdb, classés selon leur fréquence réelle à travers de nombreuses fuites.

Les 10 000 000 mots de passe les plus fréquents du jeu de données agrégé de fuites Pwdb. L'une des plus grandes listes de mots de passe en clair classées par fréquence dans SecLists.

Les 100 000 mots de passe les plus courants du jeu de donnees agrege de fuites Pwdb, classes par frequence. Une solide liste de cassage generaliste de taille intermediaire.

Top 10 000 des entrées du projet Pwdb (base de données de mots de passe), classées par occurrence à travers de nombreuses fuites. Liste généraliste solide.

Un ensemble court et à fort signal de chaînes de test d'injection SQL (apostrophes, contournements d'authentification basés sur OR). À utiliser pour un premier contrôle SQLi rapide sur les paramètres d'entrée et les formulaires de connexion.

Une liste sélectionnée de chemins à fort signal susceptibles de révéler des fichiers sensibles tels que des dotfiles, des sauvegardes, des fichiers de configuration et des panneaux d'administration. Excellente pour une première passe rapide et à forte valeur.

Les noms de répertoires du projet RAFT, classés par fréquence à partir de crawls web réels. Excellent pour découvrir des répertoires applicatifs (CMS, admin, chemins de frameworks) lors de l'énumération web.

Grande liste d'extensions de fichiers dérivée de RAFT, ordonnée par fréquence pour un brute-forcing exhaustif des extensions.

Variante normalisée en minuscules de la grande liste d'extensions RAFT, pour les cibles insensibles à la casse.

Les noms de fichiers du projet RAFT, classés par fréquence, incluant des fichiers de script et de configuration. À combiner avec un filtre d'extension pour traquer des fichiers spécifiques (login.php, xmlrpc.php, etc.) sur une cible.

Noms de répertoires classés par fréquence issus du projet RAFT, avec une couverture plus large que la liste small. Un choix équilibré pour une force brute de répertoires approfondie.

Liste d'extensions de fichiers RAFT de taille moyenne, équilibrant couverture et vitesse pour le fuzzing d'extensions.

Noms de fichiers classés par fréquence issus du projet RAFT avec une couverture plus large que la liste small. Bon pour énumérer les fichiers lorsque les répertoires sont déjà connus.

Mots bruts classés par fréquence issus du projet RAFT avec une couverture plus large, conçus pour le fuzzing avec des extensions fournies par l'utilisateur, à la fois pour les fichiers et les répertoires.

Liste de noms de répertoires classée par fréquence, dérivée du projet de recherche RAFT. La variante small privilégie les répertoires les plus courants pour des balayages de découverte rapides.

Petite liste d'extensions de fichiers RAFT pour des scans rapides axés sur les extensions les plus courantes.

Liste de noms de fichiers (avec extensions) classée par fréquence issue du projet RAFT. La variante small se concentre sur les fichiers les plus courants pour une découverte de contenu rapide.

Mots bruts (sans extension fixe) classés par fréquence issus du projet RAFT, idéaux pour fuzzer à la fois les fichiers et les répertoires en ajoutant des extensions personnalisées.

Codes de pays de type ISO pour le fuzzing des paramètres de locale, de région et de pays dans les applications web et les API.

Chemins récoltés à partir des directives Disallow dans les fichiers robots.txt des sites les plus populaires, classés par fréquence. Ces chemins pointent souvent vers du contenu sensible ou intéressant que les propriétaires de sites souhaitaient dissimuler.

Un sous-ensemble RockYou plus large (palier de fréquence à 65 %) offrant une couverture plus étendue que rockyou-50 tout en restant bien plus petit que la liste complète.

Un sous-ensemble réduit de la célèbre liste issue de la fuite RockYou (entrées allant jusqu'à 75 caractères). La liste de mots de passe de prédilection pour démarrer le crackage de hash hors ligne et le brute-force d'identifiants lorsque le rockyou.txt complet est trop volumineux.

Chemins de fichiers et de repertoires de l'application de webmail Roundcube 1.2.3, couvrant les scripts bin, la configuration, les plugins et les skins. Utile pour identifier et enumerer les installations de webmail Roundcube.

Union dédoublonnée de tous les noms d'utilisateur et mots de passe par défaut de la collection de routeurs par fournisseur de SecLists. Une seule wordlist combinée pour pulvériser les connexions par défaut sur les routeurs grand public/FAI.

Chemins de fichiers et de repertoires courants des applications Ruby on Rails (Gemfile, Rakefile, app/controllers, config, points d'acces de connexion). Utile pour identifier les applications Rails et localiser les fichiers de framework exposes.

Les 150 mots de passe les plus courants chez les utilisateurs russes, issus du jeu de données Pwdb, incluant des suites de clavier adaptées aux claviers russes. Une liste rapide et ciblée pour les cibles russes.

Noms d'objets Salesforce Aura/Lightning pour énumérer les points de terminaison Aura exposés et sonder les contrôles d'accès au niveau des objets.

Noms de comptes de service et d'administration SAP standard (DDIC, SAP*, EARLYWATCH, etc.) livrés avec les systèmes SAP. Idéal pour cibler SAP NetWeaver et les déploiements d'entreprise associés.

Chemins d'applications web et points d'accès de services SAP NetWeaver (Adobe Document Services, points d'accès de configuration et WSDL). Utile pour énumérer les services Java SAP NetWeaver exposés et les interfaces d'administration.

Liste SCADA StrangeLove des identifiants par défaut et codés en dur pour les équipements ICS/SCADA (automates, contrôleurs, routeurs industriels), avec des colonnes fabricant, équipement, port et source. Référence et source d'identifiants pour les évaluations de systèmes de contrôle industriel.

Mots de passe basés sur les saisons (Spring/Summer/Fall/Winter) avec variations leet et suffixes. Très efficaces contre les mots de passe d'entreprise à rotation de 90 jours.

La liste « big » de dirb, un ensemble plus volumineux de chemins web triés par ordre alphabétique. À utiliser pour une découverte de contenu plus exhaustive que common.txt, sans la taille imposante de directory-list-2.3-medium.

La fusion dédupliquée par SecLists de nombreuses listes de répertoires en une unique liste ordonnée de découverte de répertoires. Une solide liste de force brute de répertoires à usage général.

La liste de sous-domaines fusionnée et dédupliquée par SecLists, combinant plusieurs sources pour la force brute DNS et l'énumération de sous-domaines.

La liste de mots fusionnée et dédupliquée par SecLists d'entrées de fichiers/mots (y compris les fichiers cachés et les chemins de VCS) pour la découverte de contenu contre les serveurs web.

La liste « common » classique de dirb, regroupant les fichiers et répertoires web fréquemment rencontrés. La wordlist standard pour un premier passage rapide lors de la découverte de contenu web sur n'importe quelle cible.

Une vaste wordlist DNS de sous-domaines à usage général (la classique namelist de brute-force DNS / fierce). À utiliser pour une énumération exhaustive de sous-domaines lorsque la liste des 5000 premiers ne suffit pas.

La gigantesque liste de force brute de sous-domaines all.txt de Jason Haddix, un grand classique pour l'énumération DNS et la reconnaissance lors des missions de bug bounty. Contient des millions de labels de sous-domaines candidats.

Une vaste liste de prénoms, utile pour générer ou deviner des noms de comptes utilisateurs. À utiliser lorsque les cibles emploient des identifiants basés sur le prénom ou pour construire des permutations de noms d'utilisateurs.

Noms de répertoires extraits de dépôts de code source réels par le projet SVNDigger, couvrant les frameworks, les internes de CMS et les dossiers d'application courants. Une liste de découverte de répertoires à fort signal.

Wordlist SVNDigger complète de noms de fichiers et de répertoires récoltés depuis des dépôts de code source publics. Une vaste liste de découverte de contenu web issue du monde réel, couvrant de nombreux langages et frameworks.

Une liste minuscule mais à forte valeur regroupant les noms d'utilisateurs de service et d'administration les plus courants. Parfaite comme volet « noms d'utilisateurs » d'un brute-force d'identifiants ou d'un password spray contre des connexions SSH, FTP et web.

Noms de famille courants pour répondre aux questions de sécurité du type « nom de jeune fille de votre mère » et alimenter les tentatives de devinette d'identifiants basées sur les noms.

Couleurs nommées (liste de couleurs HTML) pour répondre aux questions de sécurité du type « Quelle est votre couleur préférée ? » lors de la récupération de compte.

Noms de rues pour deviner les réponses aux questions de sécurité du type « Dans quelle rue avez-vous grandi ? » lors des attaques de récupération de compte.

Noms de villes du monde pour deviner les réponses aux questions de sécurité du type « Dans quelle ville êtes-vous né ? » et les flux de réinitialisation de mot de passe.

Une liste ciblée de 1 419 entrées regroupant les noms de sous-domaines courants orientés services et applications (api, graphql, admin, staging, etc.). Idéale pour faire apparaître rapidement les hôtes d'applications et d'API modernes.

Chemins spécifiques à Microsoft SharePoint, incluant les points d'accès _layouts, _catalogs et _admin. Ciblé pour énumérer les déploiements SharePoint.

Une wordlist de sous-domaines de 64 721 entrées par Shubham Shah, dérivée de données StackOverflow, riche en noms d'hôtes de type utilisateur et projet. Utile pour capturer des sous-domaines atypiques, générés par des humains.

La wordlist sélectionnée de 484 699 entrées de Shubham Shah (assetnote), construite à partir de données de résolution de bug-bounty. Une liste de référence pour la découverte approfondie et réaliste de sous-domaines.

Mots de passe en clair issus de la fuite du site de rencontres chretien singles.org, riche en mots a connotation religieuse. Excellent pour le cassage de mots de passe thematique et les attaques par dictionnaire.

Notation de fuzzing de buffer/limites de SkullSecurity (compteurs de répétition « A » x N et spécificateurs de chaîne de format) pour les tests de débordement et de gestion de longueur.

La variante au format onesixtyone de la grande liste de chaînes de communauté SNMP de SecLists, prête à être directement injectée dans le scanner onesixtyone.

La wordlist complète de chaînes de communauté SNMP de SecLists (~3 200 entrées) pour deviner les chaînes de communauté en lecture/écriture sur les équipements compatibles SNMP.

Une fusion dédupliquée et triée des wordlists par défaut de Knock, DNSRecon, Fierce et Recon-ng. Consolide les valeurs par défaut de plusieurs outils en une seule liste de 102 582 entrées.

Une grande liste combinée de noms d'utilisateur et de mots de passe hispanophones courants. Utile pour le credential-spraying des comptes espagnols et latino-américains.

Une liste minimale, un caractère par ligne, de caractères spéciaux/de ponctuation pour l'injection à un seul caractère et le fuzzing de limites. Utile pour sonder rapidement quels métacaractères un champ rejette ou gère mal.

Caractères spéciaux/métacaractères associés à leurs formes encodées en URL, pour fuzzer les filtres d'entrée, contourner les WAF et détecter un décodage incorrect.

Chemins des points de terminaison de gestion Spring Boot Actuator (env, heapdump, jolokia, etc.) pour découvrir les interfaces d'administration/gestion exposées menant à la divulgation d'informations et au RCE.

Points de terminaison Spring Boot Actuator (env, heapdump, beans, mappings, health) pour énumérer les interfaces actuator exposées sur les applications Java.

Chaînes d'injection SQL conçues pour contourner l'authentification de connexion en altérant la logique de la clause WHERE.

Charges utiles UNION SELECT génériques avec un nombre de colonnes variable pour extraire des données via une injection SQL basée sur union.

Chaînes de sondage génériques d'injection SQL basée sur les erreurs (conditions booléennes OR/AND, HAVING, échappement de guillemets) utilisées pour déclencher et détecter des erreurs SQL sur différents moteurs de bases de données.

Payloads polyglottes d'injection SQL compacts qui se déclenchent dans plusieurs contextes (guillemet simple/double, basés sur le temps) sur MySQL avec une seule chaîne.

Identifiants SSH par défaut courants au format user:pass. À fournir directement aux outils qui acceptent des listes d'identifiants combinés pour la force brute SSH.

Payloads d'injection Server-Side Includes (SSI) et Edge-Side Includes (ESI) utilisant les directives #echo, #config, #exec pour la divulgation de variables et l'exécution de commandes.

Sondes d'injection de template côté serveur (SSTI) pour de nombreux moteurs (Jinja2, Twig, Freemarker, ERB, Velocity et d'autres), allant de simples marqueurs mathématiques aux chaînes d'introspection d'objets. Pour détecter et exploiter l'injection de template.

Une liste de 5 370 entrées de libellés de sous-domaines en langue espagnole pour cibler les infrastructures espagnoles et latino-américaines. Un complément régional utile aux listes centrées sur l'anglais.

Les 110 000 libellés de sous-domaines les plus courants du jeu de données DNS « top 1 million » de Rapid7 Sonar. Une liste d'énumération plus approfondie qui équilibre couverture et temps d'exécution.

Les 20 000 libellés de sous-domaines les plus courants, dérivés du jeu de données DNS « top 1 million » de Rapid7 Sonar. Une liste rapide et à fort signal pour le brute-forcing de sous-domaines au quotidien.

Les 5000 labels de sous-domaines les plus courants, dérivés d'un corpus d'un million d'entrées. La liste rapide par défaut pour le brute-force de sous-domaines DNS (gobuster dns / ffuf vhost).

La grande liste de noms subbrute (~129k entrées) utilisée par Sublist3r pour le brute-forcing de sous-domaines DNS, adaptée aux balayages d'énumération exhaustifs.

Points de terminaison de documentation Swagger et OpenAPI (api-docs, swagger-ui, openapi.json, _wadl) pour découvrir les spécifications et interfaces d'API exposées.

Top 150 des mots de passe en langue suedoise les plus courants, issus du jeu de donnees Pwdb. Utile pour les attaques d'identifiants adaptees a la locale contre des cibles suedoises.

Chemins de fichiers et de repertoires d'une application de demonstration Symfony 3.1.5, couvrant la configuration de l'application, le kernel, le cache et l'agencement des bundles. Utile pour identifier les installations Symfony et localiser les fichiers de configuration exposes.

Paires d'identifiants par défaut user:password sélectionnées pour les équipements et appliances exposés en Telnet. Idéale pour pulvériser des connexions par défaut contre les services Telnet sur du matériel IoT et embarqué.

Expressions polyglottes d'injection de template (42*42) couvrant Jinja, Twig, Freemarker, ERB, Smarty et d'autres, pour détecter l'injection de template côté serveur grâce au résultat 1764.

Combinaisons user:password par défaut pour Apache Tomcat Manager et les comptes d'administration associés. Idéale pour tester les interfaces /manager Tomcat exposées avec des outils de force brute sur l'authentification HTTP.

Les 20 mots de passe les plus frequemment essayes contre les services SSH par les bots et scanners automatises. Ideal pour des verifications de force brute SSH en ligne rapides et discretes.

Une liste de TLD et de suffixes publics (chacun préfixé d'un point) pour l'énumération horizontale de domaines et le balayage de TLD à travers les domaines apex d'une organisation.

Labels de sous-domaines collectés à partir de l'inventaire continu de Trickest des programmes publics de bug bounty. Une liste de force brute de sous-domaines à fort signal, issue du monde réel.

Top 150 des mots de passe en langue turque les plus courants, issus du jeu de donnees Pwdb. Utile pour cibler les utilisateurs turcs et pour le devinement d'identifiants propre a cette locale.

La liste des mots de passe que Twitter a bannis de l'inscription car jugés trop courants ou trop faibles. Une liste compacte et à fort signal de mots de passe évidents.