20:43
27/4/2010

FuzzDB to obszerny zbiór ciągów, wyrażeń wykorzystywanych w atakach na aplikację. Oprócz nich, baza zawiera także nazwy często wykorzystywanych ścieżek i treść popularnych komunikatów o błędach. Wzorce zawarte w bazie z pewnością przydadzą się pentesterom do znalezienia podatności w aplikacjach.

Informacje umieszczone w bazie fuzzdb zostały podzielone pod kątem typów ataków, platformy i aplikacji. I tak, mamy w niej wyrażenia wykorzystywane w atakach typu:

  • xss
  • sql-injection
  • fortmat strings
  • integer overflow
  • path traversal

Baza jest darmowa i z pewnością przyda się przy atakach typu brute-force. Dzięki niej można szybciej odnaleźć “interesujące” z punktu widzenia atakującego pliki (ataki typu forced-browsing) oraz lepiej zinterpretować komunikaty pochodzące od serwera w trakcie zalewania go testowymi danymi (fuzzingu).

FuzzDB w wersji 1.06 można pobrać stąd lub skorzystać z svn (zalecane):

svn checkout http://fuzzdb.googlecode.com/svn/trunk/ fuzzdb-read-only

Przeczytaj także:

6 komentarzy

Dodaj komentarz
  1. Panda wykrywa trojana w archiwum .tgz

  2. Wszystko ładnie, wszystko fajnie, a Kaspersky czuje trojana ;)

  3. Prze Pana, a co to są “kunikaty”?

  4. Zapewne słownika zabrakło autorowi,
    powinien wpierw “svn co svn://addons.mozilla.org” zrobić na swoim słowniku ;)

  5. antywirusy nie lubią fuzzdb.googlecode.com/files/fuzzdb-1.06.tgz

    3/4 ma wątpliwości: http://www.virustotal.com/analisis/421b9b2d38349086474fe605a145e7ce0541ab3f14e76e684ef8dda4b1717a11-1272399474

    ;D

  6. Hehe, bezpiecznik powinien wiedzieć, kiedy antywirus przesadza ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: