字典管理系统

系统架构

单词列表管理系统包含几个相互连接的组件，它们协同工作以维护存储库的单词列表。

系统组件概述

Sources: .bin/wordlist-updaters/status.json .bin/get-and-patch-readme-repository-details.py Discovery/Web-Content/trickest-robots-disallowed-wordlists/top-10000.txt Discovery/Web-Content/trickest-robots-disallowed-wordlists/top-1000.txt Discovery/Web-Content/trickest-robots-disallowed-wordlists/top-100.txt Discovery/Web-Content/CMS/trickest-cms-wordlist/woocommerce.txt Discovery/Web-Content/CMS/trickest-cms-wordlist/woocommerce-all-levels.txt

状态跟踪

该系统使用一个JSON文件来跟踪不同单词列表类别上次更新的时间戳。此时间戳跟踪具有多种目的：

确定何时需要刷新单词列表
提供更新的审计跟踪
允许自动检查以确定是否需要更新

状态跟踪文件包含每个单词列表更新类别的Unix时间戳。

Sources: .bin/wordlist-updaters/status.json

单词列表更新流程

单词列表更新流程遵循结构化的工作流程，以确保所有单词列表保持最新和一致。

Sources: .bin/wordlist-updaters/status.json .bin/get-and-patch-readme-repository-details.py

字典更新器

该系统包含更新特定单词列表的专用脚本。

Trickest单词列表更新程序

此更新程序刷新两个主要类别的单词列表：

Robots.txt 禁止的条目：创建和更新robots.txt文件中常用的禁止路径列表。
- top-10000.txt：最常见的10,000个禁止路径。
- top-1000.txt：最常见的1,000个禁止路径。
- top-100.txt：最常见的100个禁止路径。
CMS特定路径：更新各种内容管理系统的单词列表。
- 常规列表（例如 wordpress.txt）：特定CMS的常用路径。
- 所有级别列表（例如 wordpress-all-levels.txt）：包含所有路径级别的全面列表。

JWT Secrets更新程序

维护JSON Web Tokens中常用密钥的列表，更新Passwords目录中的 scraped-JWT-secrets.txt 文件。

Sources: .bin/wordlist-updaters/status.json Discovery/Web-Content/trickest-robots-disallowed-wordlists/top-10000.txt Discovery/Web-Content/trickest-robots-disallowed-wordlists/top-1000.txt Discovery/Web-Content/trickest-robots-disallowed-wordlists/top-100.txt Discovery/Web-Content/CMS/trickest-cms-wordlist/woocommerce.txt Discovery/Web-Content/CMS/trickest-cms-wordlist/woocommerce-all-levels.txt Passwords/README.md

README更新程序

README更新程序是一个Python脚本，它会自动使用最新的元数据更新存储库的README.md文件。

它从GitHub API检索存储库的大小。
根据标准连接速度（50 Mbps）计算预期的克隆时间。
更新README.md文件中的克隆时间徽章。

这确保用户知道克隆这个大型存储库时的预期，帮助他们就下载方法做出明智的决定。

Sources: .bin/get-and-patch-readme-repository-details.py20-37 README.md22-26

单词列表组织

SecLists存储库以结构化的层次结构组织单词列表，以方便访问和发现特定列表。

托管的词表类型

Robots 协议禁止的字典

这些词表包含网站在其 robots.txt 文件中明确禁止的路径。它们对安全测试很有价值，因为它们通常会揭示

管理界面和仪表板
开发/暂存环境
配置页面
身份验证端点
遗留系统
备份文件
其他敏感资源

列表按出现频率排序，有三种主要变体

top-10000.txt：全面的覆盖范围，用于彻底测试
top-1000.txt：平衡的覆盖范围，用于标准评估
top-100.txt：核心路径，用于快速初步扫描

top-100 列表中的示例包括常见的敏感路径，例如 /api、/admin、/wp-admin 和 /login。

CMS 词表

CMS 词表包含特定于流行内容管理系统的路径。每个 CMS 都有两个主要变体

常规列表（例如，woocommerce.txt）：包含直接路径，无变体
所有级别列表（例如，woocommerce-all-levels.txt）：包含所有路径组件和子路径

该系统目前维护了多个 CMS 平台的词表

CMS	常规列表	所有级别列表	大约条目数
WooCommerce	woocommerce.txt	woocommerce-all-levels.txt	3,000+
Drupal	drupal.txt	drupal-all-levels.txt	2,000+
Shopware	shopware.txt	shopware-all-levels.txt	11,000+
Directus	directus.txt	directus-all-levels.txt	1,000+
其他	(各种)	(各种)	可变

这些词表对于使用这些平台构建的网站进行安全测试特别有用，因为它们包含指向管理界面、插件、主题和其他敏感组件的路径。

JWT 密钥

JWT Secrets 词表包含 JSON Web Tokens 中常用的密钥，保存在 scraped-JWT-secrets.txt 文件中。这些对于 JWT 实现的安全测试很有用，包括

框架和库的默认密钥
常见弱密钥
从公共存储库提取的已知密钥

此词表在测试 API 安全性时特别有价值，因为 JWT 在现代 Web 应用程序中通常用于身份验证和授权。

来源： Passwords/README.md8-10

与 SecLists 集成

词表管理系统是 SecLists 存储库的支柱，可确保所有词表保持最新、组织良好且有效。该系统支持

一致的更新：定期、自动更新词表，确保其时效性
质量保证：词表的标准化格式和组织
可追溯性：跟踪词表的最后更新时间
存储库维护：有关存储库大小和克隆时间的准确信息

该系统支持 SecLists 的总体目标，即为安全专业人员提供全面的、最新的词表，以应对各种安全测试场景。

来源： README.md11-13 .bin/wordlist-updaters/status.json .bin/get-and-patch-readme-repository-details.py