MundiXMUNDIX WEB
Listas de Palavras Personalizadas para os Menores
segurança da informaçãoteste de penetraçãofuzzingburp suitebug bounty

Listas de Palavras Personalizadas para os Menores

Aprenda a criar listas de palavras personalizadas para testes de penetração e caça de bugs. Descubra como essas listas podem aumentar a cobertura de alvos e encontrar vulnerabilidades ocultas, utilizando ferramentas como Burp Suite e ffuf.

MundiX News·11 de maio de 2026·9 min de leitura·👁 7 views

2K+ Alcance em 30 dias Deiteriy Lab 44,79 Classificação 162 Assinantes Assinar callmerulzz Há 1 hora Listas de palavras personalizadas para os menores Simples 9 min 2.2K Blog da empresa Deiteriy Lab Segurança da informação * Tutorial Olá! Não é segredo para ninguém que listas de palavras de qualidade são a chave para um fuzzing eficaz e, consequentemente, maior cobertura do escopo e boas descobertas durante testes de penetração e bug bounty. No entanto, as listas de palavras de acesso público nem sempre fornecerão cobertura suficiente, por maiores que sejam. O aplicativo web pode ter sua própria nomenclatura específica de caminhos e parâmetros. Alguns manipuladores podem estar em domínios fora do escopo e duplicados no escopo, às vezes até com funcionalidade alterada. Parte dos parâmetros não pode ser encontrada sem análise manual do código JavaScript do aplicativo. É aqui que entram as listas de palavras personalizadas, cobrindo todas as nuances acima. Graças a elas, você pode realizar o fuzzing dos caminhos do aplicativo web de forma muito mais eficaz, bem como forçar os parâmetros de suas solicitações. Este artigo é o primeiro de um ciclo sobre dicionários personalizados, que fala sobre como coletar uma lista de palavras básica sem muito esforço. No próximo artigo, falarei sobre como criar uma lista de palavras personalizada mais complexa, que requer mais tempo. Eu realmente preciso disso? Não importa se você é um caçador de recompensas ou um testador de penetração, uma cobertura maior do alvo é boa, porque sempre há uma chance de encontrar parâmetros e caminhos esquecidos pelos desenvolvedores. Mesmo um novo ativo encontrado pode lhe dar uma vantagem sobre outros pesquisadores. Se você tem um escopo amplo com muitos subdomínios, as chances de encontrar esses ativos são muito maiores do que em um teste de penetração de uma pequena empresa com alguns subdomínios. Mas mesmo neste caso, se houver tempo, você não deve negligenciar a criação de listas de palavras personalizadas. Certa vez, durante um teste de penetração de uma pequena empresa, graças a uma lista de palavras personalizada, consegui detectar XSS em um parâmetro oculto na página de pagamento. Vale a pena mencionar separadamente que os dicionários personalizados se mostram bem em testes de penetração regulares (Penetration Testing as a Service) e em bug bounty em grandes programas com uma base de código atualizada regularmente. Ao formar uma lista de palavras personalizada com base no estado atual do sistema, você a torna a chave para a superfície de ataque oculta no futuro. Por exemplo, você interceptou respostas JSON da API de um usuário autenticado e obteve palavras que não podem ser encontradas em arquivos da web, focados principalmente em salvar estática. Essas palavras exclusivas podem não estar envolvidas na lógica ativa do aplicativo no momento, mas é muito provável que apareçam nas próximas iterações do desenvolvimento do aplicativo durante seu próximo teste. No fluxo de trabalho, é importante distribuir seu tempo corretamente e não fazer da criação de uma lista de palavras um objetivo em si. Caso contrário, pode acontecer que você gaste muito tempo nisso na esperança de encontrar funcionalidade oculta, mas não terá tempo para prestar atenção suficiente ao estudo da lógica de negócios básica do alvo. Considere as listas de palavras personalizadas como uma parte adicional do OSINT. Pessoalmente, durante um teste de penetração, compilo uma lista de palavras na segunda metade do trabalho, depois de fazer uma reconhecimento básico e olhar para a funcionalidade principal. Depois disso, uso o dicionário seletivamente, guiado pela minha intuição de hacker. Às vezes, não faço uma lista de palavras personalizada, se precisar verificar muita lógica de negócios. Lista de palavras personalizada básica Abaixo, escrevi o processo de coleta de uma lista de palavras personalizada básica usando o exemplo de um aplicativo de teste.

  1. Rastreamento manual com proxy Tudo começa com a visita manual dos alvos com um proxy ativado e a coleta de um número suficiente de solicitações. Em meu trabalho, uso o Firefox com a extensão FoxyProxy , direcionando solicitações para o Burp Suite. As solicitações e respostas salvas no Burp Suite serão necessárias até o final deste capítulo para analisá-las por meio da extensão e coletar uma lista de palavras. Os rastreadores automatizados podem clicar em todas as páginas estáticas, mas eles lidam mal com a funcionalidade dinâmica, então você não pode ficar sem a etapa manual. Registre-se em sua conta pessoal, altere sua senha, envie uma mensagem para o suporte, pague uma assinatura, etc. - faça todas as ações possíveis disponíveis através da interface do usuário. Assim, você obterá mais solicitações à API e as respectivas respostas do servidor.
  2. Rastreamento automatizado Como mencionei acima, a automação cuidará de visitar todas as páginas estáticas. Eu uso o rastreador Katana
  • é bastante rápido e possui uma análise dinâmica conveniente de links em arquivos JavaScript. Não se esqueça de passar o Cookie da sessão para o rastreador, se houver funcionalidade no alvo fechada por autorização. Proxy as solicitações do rastreador para o Burp Suite de forma semelhante. Além disso, para se proteger contra o bloqueio pelo WAF, aconselho a alterar o User-Agent para o agente padrão do navegador. Exemplo de comando (você pode substituir o parâmetro de profundidade de rastreamento -depth como desejar, o mesmo com limites de taxa no parâmetro -rl ): katana -u https://example.com (-list urls.txt) -depth 5 -js-crawl -jsluice -known-files all -proxy http://127.0.0.1:8080 -rl 100 -o katana-example-com.out -v -H 'User-Agent: xxx' -H 'Cookie: xxx=xxx'
  1. Fuzzing com listas de palavras padrão Também é importante fazer fuzzing nos caminhos do aplicativo web com listas de palavras de acesso público para encontrar manipuladores ocultos e, o mais importante, salvar as respostas a eles. O conteúdo das respostas em um painel de administração personalizado aberto pode conter muitas palavras para nossa lista de palavras, e os arquivos JS na página de login - ainda mais. Para fuzzing, uso a ferramenta ffuf e listas de palavras fuzz.txt , content discovery all.txt . O segundo é bastante grande, aconselho deixá-lo em execução durante a noite em um VPS no tmux. Páginas válidas podem ser enviadas imediatamente para o Burp via parâmetros -r -replay-proxy http://127.0.0.1:8080 ( -r — seguir redirecionamentos, -replay-proxy — direcionar para o proxy Burp Suite apenas as solicitações que passaram pela filtragem). Isso permite que você colete os resultados do fuzzing e faça o proxy dos endpoints válidos em uma passagem. Se você precisar filtrar outro código de resposta, altere 403 em -fc para o correspondente (você pode listar através de uma vírgula, por exemplo, -fc 403,404 ). Exemplo de comando: ffuf -c -w fuzz.txt -u https://example.com/FUZZ -rate 80 -t 5 -fc 403 -H "User-Agent: Mozilla Firefox" -r -replay-proxy http://127.0.0.1:8080 -o ffuf/-fuzz.out
  2. Coletamos URLs de arquivos através do gau gau é uma ferramenta que permite coletar URLs salvos de um domínio em vários sites de arquivos, como webarchive.org . Ou seja, na verdade, realizar um OSINT automatizado rápido - encontrar URLs que não aparecem mais no aplicativo, mas permaneceram na história da Internet. Não ignore esta etapa - muitas descobertas vêm daqui. Exemplo de comando: cat <subdomains.txt> | gau --blacklist ttf,woff,svg,png,jpg --fc 404 --o gau.out --verbose Na prática, o argumento blacklist nem sempre funciona corretamente, por isso aconselho a grep estática inversamente da saída gau: cat gau.out | grep -vE '.ttf|.woff|.svg|.png|.jpg' Os URLs resultantes são executados através do mesmo ffuf para fazer o proxy deles no Burp, como na segunda etapa. Como meu aplicativo de teste é local e não deixou rastros na rede, para exemplos relacionados ao OSINT, usarei o site www.spacex.com :
  3. Analisamos arquivos JavaScript através do xnLinkFinder xnLinkFinder é uma ferramenta para rastreamento e busca de URLs em arquivos JavaScript. É notável por ser capaz de verificar caminhos relativos, bem como coletar uma lista de palavras separada de parâmetros, que então combinaremos com nossa lista de palavras personalizada principal. A ferramenta é necessária para aumentar a cobertura - ela encontra manipuladores ocultos em arquivos JS. Embora a ferramenta seja posicionada como um rastreador, não vejo sentido em fazer o rastreamento novamente depois de tê-lo feito através do Katana. Portanto, recomendo usar o xnLinkFinder como um analisador para arquivos JavaScript. Salve as solicitações-respostas do Burp, selecionando todos os URLs no alvo - clique com o botão direito - Salvar itens selecionados - codificar solicitações e respostas em base64. Exemplo de comando ( -sp
  • domínio com um esquema para substituição antes de URLs relativos, -sf
  • filtro por um ou mais domínios no arquivo XML do Burp Suite, se houver vários): xnLinkFinder -i <urls.xml> -sp https://example.com -sf example.com -o xnlinkfinder.out -op xnlinkfinder-params.out -d 3 Como resultado, você obterá uma lista de URLs encontrados e uma lista de palavras com parâmetros. Os URLs resultantes também precisam ser proxy no Burp Suite via ffuf.
  1. Formamos uma lista de palavras personalizada através do GAP GAP é uma extensão para Burp do autor do xnLinkFinder. É por isso que fizemos o proxy de todas as solicitações no Burp nas etapas anteriores. Ele analisa todos os URLs no alvo e compila uma lista de palavras personalizada com base neles. Você pode baixá-lo na BApp Store. Para uma cobertura mais completa, aconselho a ativar as seguintes opções antes de iniciar a extensão: Include URL path words? (no modo Parâmetros e no modo Palavras) JSON params (em Parâmetros de Solicitação e Resposta) Cookie names Name and Id attributes of HTML input fields Include potential params? Params from links found Selected target(s) Especifique também o diretório no campo Auto save output directory e clique em Salvar opções. Para iniciar: clique com o botão direito no domínio em Target - Extensions - GAP. Como resultado, duas listas de palavras (Params, Words) e uma lista de URLs (Links) são obtidas. No final, combinamos as listas de palavras do GAP com a lista de palavras de parâmetros do xnLinkFinder, removemos duplicatas e obtemos uma lista de palavras personalizada! cat xnlinkfinder-deiteriypay-params.out http-deiteriypay.local/deiteriypay.local_20260414_155944_params.txt http-deiteriypay.local/deiteriypay.local_20260414_155944_words.txt | sort -u > wordlist-final.txt Usando listas de palavras em um exemplo prático Param Miner Param Miner é uma extensão para Burp Suite do famoso James Kettle. Para começar, você precisa configurá-lo na guia correspondente na parte superior, especificando nossa lista de palavras e marcando a caixa use custom wordlist. Também uso algumas outras opções que você pode ver na captura de tela. Iniciar a extensão é muito simples - clique com o botão direito na solicitação - Extensions - Param Miner - Guess … Aconselho que você escolha opções lógicas para cada solicitação: Guess query params para solicitações GET, body params para solicitações POST/PUT/PATCH. Aconselho a verificar Guess cookies/headers apenas uma vez, a lógica provavelmente se repetirá em todo o alvo (mas, é claro, veja a situação). Se você quiser saber mais sobre outras opções do Param Miner, pode ler sobre isso em nosso artigo . Após a conclusão da verificação, vemos um novo Issue que o parâmetro oculto internal_receipt_id foi encontrado no manipulador deiteriypay.local:8090/checkout: O parâmetro internal_receipt_id foi embutido no arquivo app.js e foi extraído com sucesso pela extensão GAP. Graças a este parâmetro legado no stand de teste, foi possível encontrar XSS:
  2. ffuf A lista de palavras personalizada não se limita a força bruta de parâmetros. Ele também pode ser usado para fuzzing de caminhos. No entanto, os caminhos são frequentemente muito mais caprichosos para a nomenclatura, e em um alvo real, o dicionário com parâmetros requer refinamento para ser usado para fuzzing de caminhos. Eu não conheço nenhuma ferramenta que possa analisar a nomenclatura de caminhos e gerar URLs potenciais com base nela. Algo semelhante é implementado em kiterunner
  • um fuzzing de API, mas sua funcionalidade de fuzzing recursivo é limitada por listas de palavras embutidas. Talvez as redes neurais possam ajudar bem nesta tarefa. Se você conhece ferramentas adequadas para trabalhar com dicionários personalizados - compartilhe nos comentários! Portanto, para uma cobertura competente do alvo, você deve dedicar pelo menos um pouco de tempo à análise manual da nomenclatura de URL e edição da lista de palavras com parâmetros. Mas, é claro, você também pode simplesmente lançar a lista de palavras com parâmetros para fuzzing como https://example.com/FUZZ . No stand de teste, lendo a lista de palavras Links do GAP, você pode ver que a separação de várias palavras através de

e prefixos como deiteriy- , deit- é frequentemente usada. Também sabemos que a API está localizada em /api/v1/. Com base nesses dados, faremos mutações na lista de palavras com parâmetros, adicionando prefixos às palavras que começam com letras minúsculas, bem como combinando essas palavras com hífens. Vamos verificar o URL http://deiteriypay.local:8090/api/v1/FUZZ . Um exemplo de script bash para limpar e mutar o dicionário será fornecido abaixo. As mutações da lista de palavras devem ser realizadas na lista de palavras mais limpa e menor possível para que não se expanda em tamanho. Falarei mais sobre a limpeza de listas de palavras na próxima parte do artigo. Enquanto isso, darei um exemplo de mutação da lista de palavras para o stand de teste. Percebi que há muitas palavras repetidas na lista de palavras com letras maiúsculas. Decidi limpar a lista de palavras removendo palavras com letras maiúsculas e palavras com menos de 3 caracteres, e fazer a concatenação de palavras com hífens e prefixos. Escrevi um script bash, mas é mais conveniente fazer isso via Python. Para ajudar a escrever scripts simples, recomendo usar IA. #!/usr/bin/env bash set -euo pipefail

INPUT="${1:-wordlist-final.txt}" OUTPUT="${2:-paths-mutated.txt}" PREFIXES="deiteriy deit"

if [[ ! -f "$INPUT" ]]; then exit 1 fi

ATOMS=$(mktemp)

Limpeza e preparação de "átomos"

sed 's/[-_]/ /g' "$INPUT" |
grep -v '[A-Z]' |
awk 'length >= 3' |
grep -vxE "$(echo $PREFIXES | tr ' ' '|')" |
sort -u > "$ATOMS"

Geração de mutações

awk -v prefixes="$PREFIXES" ' BEGIN { np = split(prefixes, px, " ") } { a[NR] = $0; n = NR } END { for (i = 1; i <= n; i++) { print a[i] for (p = 1; p <= np; p++) print px[p] "-" a[i] } for (i = 1; i <= n; i++) { for (j = 1; j <= n; j++) { if (i == j) continue combo = a[i] "-" a[j] print combo for (p = 1; p <= np; p++) print px[p] "-" combo } } }' "$ATOMS" | sort -u > "$OUTPUT"

rm -f "$ATOMS" A lista de palavras acabou sendo impressionante, é por isso que mencionei acima que você deve trabalhar com a versão mais limpa possível do dicionário para mutações. Fuzzing da API do stand de teste e resultados: Conclusões Listas de palavras personalizadas podem ajudar a cobrir o alvo de forma mais ampla, bem como encontrar funcionalidade oculta, inacessível ao usar listas de palavras padrão. No entanto, a criação de listas de palavras não é um processo totalmente automático e leva tempo. É importante distribuí-lo de forma competente, percebendo as listas de palavras personalizadas como um complemento ao OSINT. Como resultado, o fluxo geral de criação de uma lista de palavras personalizada é o seguinte: Compartilhe suas opiniões sobre o artigo nos comentários, suas abordagens para compilar e usar listas de palavras, bem como as ferramentas que você usa para isso. Vejo você na próxima parte! Nela, falarei sobre como compilar listas de palavras personalizadas mais avançadas com a adição de OSINT ao fluxo, bem como sobre utilitários e abordagens para limpar dicionários. Também abordarei ferramentas que ajudam a coletar uma lista de palavras sem GAP - por exemplo, se você usa Caido em vez de Burp. Tags: segurança da informação teste de penetração fuzzing bug bounty segurança de aplicativos web burp suite ffuf recon teste de api

Hubs: Blog da empresa Deiteriy Lab Segurança da informação +1 3 0 2K+ Alcance em 30 dias Deiteriy Lab Site 1 Carma @callmerulzz Usuário Assinar O fluxo de segurança da informação está disponível 24 horas por dia, 7 dias por semana, graças ao apoio dos amigos do Habr Cursos Habr para todos PUBLICIDADE Prática, Hexlet, SkyPro, cursos do autor - reunimos todos e pedimos descontos. Resta escolher! Ir Ir para o fluxo de segurança da informação Comentar Os melhores do dia Semelhante

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.