概述

相关源文件

• .bin/get-and-patch-readme-repository-details.py
• Discovery/Web-Content/domino-dirs-coldfusion39.txt
• Discovery/Web-Content/domino-endpoints-coldfusion39.txt
• Passwords/README.md
• Pattern-Matching/README.md
• README.md
• SecLists.png
• Usernames/README.md

SecLists 是一个综合性的安全测试词典集合，汇集在一个集中式存储库中，以方便进行安全评估。本页面提供了存储库结构、其关键组件以及它们之间相互关系的高级概述。

有关项目贡献的详细信息，请参阅为 SecLists 贡献。有关使用指南和最佳实践，请参阅使用指南。

目的与范围

SecLists 是安全测试人员的伴侣，为安全评估期间所需的各种列表提供单一来源。该存储库旨在克隆到测试机器上，使安全专业人员无需单独搜索或下载即可立即访问各种专门的词典。

该集合包括：

• 发现词典（目录、文件、子域）
• 模糊测试负载（用于输入验证测试）
• 身份验证测试列表（用户名、密码）
• 模式匹配字符串（用于敏感数据识别）
• Web Shell、攻击模式和其他安全测试资源

来源：README.md11-13

仓库组织结构

SecLists 存储库按照每个词典的用途进行分类组织

来源：README.md11-13 Passwords/README.md1-2 Usernames/README.md1-2 Pattern-Matching/README.md1-2

发现词典

“发现”部分包含用于在安全评估期间识别隐藏或未链接内容的词典。这些列表按其目标应用程序进行分类：

来源：Discovery/Web-Content/domino-dirs-coldfusion39.txt1-69 Discovery/Web-Content/domino-endpoints-coldfusion39.txt1-476

Web内容发现

“Web 内容”部分包含用于发现 Web 服务器上资源的常见文件和目录名列表。其中包括适用于大多数 Web 应用程序的通用列表以及针对特定技术的专用列表。

主要文件包括：

• 通用发现列表（common.txt、combined_words.txt）
• 平台特定词典（例如，WordPress、Drupal）
• 服务器特定技术列表（例如，Domino、ColdFusion）

专用词典内容示例：

文件	描述
domino-dirs-coldfusion39.txt	Domino/ColdFusion 应用程序的目录路径
domino-endpoints-coldfusion39.txt	Domino/ColdFusion 应用程序的端点路径

来源：Discovery/Web-Content/domino-dirs-coldfusion39.txt1-69 Discovery/Web-Content/domino-endpoints-coldfusion39.txt1-476

字典管理系统

SecLists 存储库包含一个自动化词典管理系统，可维护其资源的及时性。该系统主要位于 .bin 目录中。

来源：.bin/get-and-patch-readme-repository-details.py1-58 README.md22-25

README 维护

该存储库包含针对 README.md 文件的自动化维护功能，用于计算和更新近似克隆时间等统计数据。这通过 .bin/get-and-patch-readme-repository-details.py 脚本实现。

主要功能

• 使用 GitHub API 计算存储库大小
• 根据标准连接速度计算近似克隆时间
• 使用当前信息更新 README 徽章

来源：.bin/get-and-patch-readme-repository-details.py1-58 README.md22-25

安全测试工作流

SecLists 存储库组件旨在支持全面的安全测试工作流程。下图说明了不同词典类别如何融入安全测试：

来源：README.md11-13 Passwords/README.md1-2 Usernames/README.md1-2 Pattern-Matching/README.md1-2

密码列表

Passwords 目录包含大量专门为凭证测试设计的词典。其中包括常用密码列表以及从各种来源收集的专用集合。

显著特点

• 带有频率计数的密码列表位于“withcount”文件夹中
• 大型列表（>100MB）已压缩
• 用于 JWT 测试的专用列表，如 scraped-JWT-secrets.txt
• 指向因存储库过大而无法包含的其他密码资源的外部链接

来源：Passwords/README.md1-18

安装方法

该存储库可以通过以下几种方法安装：

方法	命令	备注
Zip 下载	wget -c https://github.com/danielmiessler/SecLists/archive/master.zip -O SecList.zip && unzip SecList.zip && rm -f SecList.zip	完整下载
Git（浅克隆）	git clone --depth 1 https://github.com/danielmiessler/SecLists.git	无提交历史，速度更快
Git（完整克隆）	git clone https://github.com/danielmiessler/SecLists.git	包含完整历史的存储库
Kali Linux	apt -y install seclists	包管理器安装
BlackArch	sudo pacman -S seclists	包管理器安装

来源：README.md30-60

类似项目和工具

SecLists 页面提供了补充其功能的类似项目和工具的链接：

类似项目

• Assetnote 词典
• fuzz.txt
• FuzzDB
• PayloadsAllTheThings
• BiblePass
• SamLists

词典工具

• Cook（词典框架）
• Wl（字符串大小写转换工具）
• CeWL（自定义词典生成器）

来源：README.md76-90

安全注意事项

该存储库带有一项重要的安全注意事项：由于其内容的性质，下载该存储库可能会触发防病毒或反恶意软件的误报。尽管文件本身无害，但由于存在本地文件包含攻击的潜在风险，不应将其存储在生产服务器上。

来源：README.md99