Flag potentially dangerous API calls in source code, a.k.a. lines containing scary strings from a security perspective!
This repository contains a list of strings (usually function names) that are relevant to security auditing, usually because they perform a sensitive operation like changing the state of a database or accessing the filesystem.
In addition to technology-specific wordlists, there comments
folder contains strings likely to be related to
developer notes left in source code.
Search for these strings and generate ideas for hacking. Maybe you can spot where the database is being modified and work your way backward to finding a SQL injection. Maybe a 'TODO' message reveals a bug that the devs didn't fix. The possibilities are endless. Save yourself time and repetitive-stress injury by jumping to the dangerous parts of the app. This collection of wordlists will show you all thermal exhaust ports on the Death Star so you don't have to explore the whole thing.
Scanning for these strings is a good way to improve the security of your app. Typically there are good practices and patterns for doing things safely according to the language you're using. If you can verify that such function calls are handled safely, great! Your app is more secure than when you started.
wordlists
โโโ blockchain
โย ย โโโ all
โโโ comments
โย ย โโโ all
โย ย โโโ derogatory
โย ย โโโ security
โย ย โโโ todo
โโโ cosmossdk
โย ย โโโ abci
โย ย โโโ module-auth
โย ย โโโ module-authz
โย ย โโโ module-bank
โย ย โโโ module-group
โย ย โโโ module-staking
โโโ cryptography
โย ย โโโ all
โโโ go
โย ย โโโ all
โย ย โโโ cryptography
โย ย โโโ db-access
โย ย โโโ deprecated
โย ย โโโ err
โย ย โโโ randomness
โย ย โโโ unsafe
โโโ java
โย ย โโโ db_access
โย ย โโโ file_access
โย ย โโโ file_inclusion
โย ย โโโ os_command_execution
โย ย โโโ url_redirect
โโโ javascript
โย ย โโโ all
โย ย โโโ deprecated
โย ย โโโ dom-xss
โย ย โโโ generic
โย ย โโโ randomness
โย ย โโโ react
โย ย โโโ redos
โโโ linters
โย ย โโโ all
โโโ perl
โย ย โโโ all
โโโ php
โย ย โโโ all
โย ย โโโ db_access
โย ย โโโ dynamic_code_execution
โย ย โโโ file_access
โย ย โโโ file_inclusion
โย ย โโโ os_command_execution
โย ย โโโ randomness
โย ย โโโ redos
โย ย โโโ serialization
โย ย โโโ sockets
โย ย โโโ superglobals
โย ย โโโ url_redirection
โย ย โโโ xxe
โโโ python
โย ย โโโ all
โย ย โโโ bypass
โย ย โโโ object_serialization
โย ย โโโ os_command_execution
โย ย โโโ string_formatting
โโโ rust
โย ย โโโ all
โย ย โโโ clone
โย ย โโโ panic-macros
โย ย โโโ randomness
โย ย โโโ resource-exhaustion
โย ย โโโ slices
โย ย โโโ unsafe
โย ย โโโ unwrap
โย ย โโโ vectors
โโโ secrets
โย ย โโโ all
โย ย โโโ api-keys
โย ย โโโ public-keys
โโโ solana
โย ย โโโ all
โโโ solidity
โโโ all
16 directories, 65 files
Most of the entries in the wordlists come from my work experience as a security engineer and penetration tester. References for some of these choices can be found in the git commit history as well as the project's GitHub Issues.
For many programming of the supported programming languages, the lists come from well-known hacking books listed below. Note that these books were published in 2011 so some of the information may be dated.