本文档详细介绍了 SecLists 仓库中电子商务内容管理系统 (CMS) 词典。这些词典是专门的文件路径、目录名和资源集合,针对 Magento、PrestaShop、OpenCart 和 Bagisto 等电子商务平台。它们旨在帮助安全专业人员在对电子商务应用程序进行渗透测试时执行彻底的内容发现。
有关涵盖 WordPress 和 Drupal 等博客或内容中心平台的通用 CMS 词典,请参阅内容中心 CMS 词典。
电子商务 CMS 词典位于 Discovery/Web-Content/CMS/trickest-cms-wordlist/ 目录中,并作为词典更新系统的一部分进行维护。这些列表包含流行电子商务平台中常见文件、目录、API 端点和资源的路径。
来源
Discovery/Web-Content/CMS/trickest-cms-wordlist/bagisto.txtDiscovery/Web-Content/CMS/trickest-cms-wordlist/bagisto-all-levels.txt每个电子商务平台通常有两种词典变体
来源
Discovery/Web-Content/CMS/trickest-cms-wordlist/bagisto-all-levels.txt:1-3017电子商务词典遵循基于这些应用程序结构的可预测模式
| 路径类别 | 模式示例 | 目的 |
|---|---|---|
| 配置 | config/*.php | 应用程序配置文件 |
| 控制器 | */Http/Controllers/*.php | 请求处理器 |
| 模型 | */Models/*.php | 数据结构定义 |
| 迁移 | */Database/Migrations/*.php | 数据库架构文件 |
| 路由 | routes/*.php | URL 路由定义 |
| 模板 | */Resources/views/*.blade.php | 前端视图文件 |
| 语言文件 | */Resources/lang/*/*.php | 国际化文件 |
| 公共资产 | */public/* | 可公开访问的资产 |
| API 端点 | */api/* | API 资源 |
| 支付网关 | */Payment/* | 支付处理模块 |
来源
Discovery/Web-Content/CMS/trickest-cms-wordlist/bagisto.txt:28-120Discovery/Web-Content/CMS/trickest-cms-wordlist/bagisto.txt:450-550Bagisto 是一个开源的 Laravel 电子商务平台。Bagisto 词典提供了其文件系统结构的全面覆盖。
来源
Discovery/Web-Content/CMS/trickest-cms-wordlist/bagisto.txt:450-570Discovery/Web-Content/CMS/trickest-cms-wordlist/bagisto-all-levels.txt:450-570安全测试人员应关注 Bagisto 中最重要的目录和文件包括
配置文件
config/*.php - 应用程序配置.env.example - 环境变量模板composer.json - 包依赖入口点
artisan - 命令行界面routes/*.php - 路由定义数据存储
storage/app/public/data-transfer/samples/* - 文件上传示例database/migrations/* - 数据库结构支付模块
packages/Webkul/Paypal/src/Payment/*.phppackages/Webkul/Payment/src/Payment/*.php来源
Discovery/Web-Content/CMS/trickest-cms-wordlist/bagisto.txt:1-171Discovery/Web-Content/CMS/trickest-cms-wordlist/bagisto-all-levels.txt:1-200Magento(现为 Adobe Commerce)是一个流行的企业级电子商务平台,具有复杂的目录结构。Magento 词典是该集合中最广泛的词典之一。
Magento 的结构包括安全测试人员应关注的几个关键区域
词典有助于识别与常见 Magento 安全问题相关的路径
PrestaShop 是一个基于 PHP 的开源电子商务解决方案。PrestaShop 词典包含以下路径:
OpenCart 是一个更简单的电子商务平台,具有直接的目录结构。关键路径包括
电子商务 CMS 词典旨在与各种内容发现工具结合使用,作为安全测试工作流的一部分。
来源
Discovery/Web-Content/CMS/trickest-cms-wordlist/bagisto.txtDiscovery/Web-Content/CMS/trickest-cms-wordlist/bagisto-all-levels.txt要将这些词典与常用工具结合使用
# Using ffuf
ffuf -w /path/to/SecLists/Discovery/Web-Content/CMS/trickest-cms-wordlist/magento.txt -u https://target-site.com/FUZZ
# Using gobuster
gobuster dir -w /path/to/SecLists/Discovery/Web-Content/CMS/trickest-cms-wordlist/prestashop.txt -u https://target-site.com/
# Using dirbuster (CLI version)
java -jar DirBuster.jar -H https://target-site.com/ -l /path/to/SecLists/Discovery/Web-Content/CMS/trickest-cms-wordlist/opencart.txt
电子商务 CMS 词典补充了其他 SecLists 组件,以提供全面的安全测试能力。
来源
使用电子商务 CMS 词典时
.php、.xml、.json)不同的电子商务平台有独特的安全考量
| 平台 | 关键安全重点区域 | 相关词典 |
|---|---|---|
| Magento | 管理面板、API 端点、支付模块 | magento.txt, magento-all-levels.txt |
| PrestaShop | 管理目录(随机命名)、模块文件夹、主题 | prestashop.txt, prestashop-all-levels.txt |
| OpenCart | 管理区域、扩展目录、配置文件 | opencart.txt, opencart-all-levels.txt |
| Bagisto | 包结构、支付网关、数据传输 | bagisto.txt, bagisto-all-levels.txt |
| WooCommerce | WordPress 集成、支付端点 | woocommerce.txt, woocommerce-all-levels.txt |
| Shopify | 主题文件、应用集成 | shopify.txt, shopify-all-levels.txt |
来源
Discovery/Web-Content/CMS/trickest-cms-wordlist/bagisto.txtDiscovery/Web-Content/CMS/trickest-cms-wordlist/bagisto-all-levels.txt电子商务 CMS 词典是用于发现电子商务平台中资源的专用工具。通过使用这些有针对性的词典,安全测试人员可以有效地识别特定于电子商务系统的潜在安全漏洞。全级别变体通过包含多种路径变体提供全面覆盖,以便进行彻底测试,而标准列表则提供有针对性的效率,以实现更快的扫描。