Die „Big List of Naughty Strings“ ist eine sich ständig weiterentwickelnde Liste von Strings, die bei Verwendung als Benutzereingabedaten mit hoher Wahrscheinlichkeit Probleme verursachen. Dies ist dazu gedacht, sowohl automatisierte als auch manuelle QS-Tests zu unterstützen. Nützlich, wenn Ihr QS-Ingenieur eine Bar betritt.
Selbst milliardenschwere Unternehmen mit riesigen Mengen automatisierter Tests können nicht jeden fehlerhaften Input finden. Sehen Sie sich zum Beispiel an, was passiert, wenn Sie versuchen, ein Leerzeichen mit der Breite Null (U+200B) auf Twitter zu twittern:
Obwohl dies kein böswilliger Fehler ist und typische Benutzer keinen seltsamen Unicode twittern, ist ein „interner Serverfehler“ für unerwartete Eingaben nie eine positive Erfahrung für den Benutzer und kann tatsächlich ein Symptom für tiefer liegende Probleme bei der String-Validierung sein. Die Big List of Naughty Strings soll dabei helfen, solche Probleme aufzudecken.
blns.txt besteht aus durch Zeilenumbrüche getrennten Zeichenfolgen und Kommentaren, denen ein # vorangestellt ist. Die Kommentare unterteilen die Zeichenfolgen in Abschnitte, um das manuelle Lesen und das Kopieren/Einfügen in Eingabeformulare zu erleichtern. Für diejenigen, die programmgesteuert auf die Zeichenfolgen zugreifen möchten, wird eine blns.json Datei bereitgestellt, die ein Array mit allen Kommentaren entfernt enthält (der Ordner scripts enthält ein Python-Skript, das zum Generieren von blns.json verwendet wird).
Sie können gerne eine Pull-Anfrage senden, um weitere Zeichenfolgen oder zusätzliche Abschnitte hinzuzufügen. Bitte senden Sie jedoch keine Pull-Anfragen mit sehr langen Zeichenfolgen (mehr als 255 Zeichen), da dies die Anzeige der Liste erheblich erschwert.
Bitte senden Sie auch keine Pull-Requests, die die manuelle Nutzbarkeit der Datei beeinträchtigen. Dazu gehören die EICAR-Testzeichenfolge, die dazu führen kann, dass die Datei von Antivirenscannern markiert wird, sowie Dateien, die die Kodierung von blns.txt ändern. Senden Sie außerdem keine Nullzeichenfolge (U+0000), da dadurch das Dateiformat auf GitHub in Binär geändert wird und es in Pull-Anfragen unlesbar wird. Wenn Sie abschließend eine Zeichenfolge hinzufügen oder entfernen, aktualisieren Sie bitte alle Dateien, wenn Sie eine Pull-Anfrage ausführen.
Die Big List of Naughty Strings ist für die Verwendung für Software gedacht, die Sie besitzen und verwalten . Einige der „Naughty Strings“ können auf Sicherheitslücken hinweisen, weshalb die Verwendung solcher Strings mit Software von Drittanbietern eine Straftat darstellen kann. Der Betreuer ist nicht verantwortlich für etwaige negative Handlungen, die sich aus der Verwendung der Liste ergeben.
Darüber hinaus ist die Big List of Naughty Strings kein vollständiger Ersatz für formelle Sicherheits-/Penetrationstests für Ihren Dienst.
Verschiedene Implementierungen der Big List of Naughty Strings haben es in verschiedene Paketmanager geschafft. Diese werden von externen Parteien gepflegt, können aber hier gefunden werden:
| Bibliothek | Link |
|---|---|
| Knoten | https://www.npmjs.com/package/blns |
| Knoten | https://www.npmjs.com/package/big-list-of-naughty-strings |
| .NETTO | https://github.com/SimonCropp/NaughtyStrings |
| PHP | https://github.com/mattsparks/blns-php |
| C++ | https://github.com/eliabieri/blnscpp |
Bitte öffnen Sie eine PR, um andere aufzulisten.
Max Woolf (@minimaxir)
MIT
