Daftar Besar String Nakal adalah daftar string yang terus berkembang dan memiliki kemungkinan besar menyebabkan masalah saat digunakan sebagai data masukan pengguna. Hal ini dimaksudkan untuk digunakan dalam membantu pengujian QA otomatis dan manual; berguna setiap kali teknisi QA Anda masuk ke bar.
Bahkan perusahaan multi-miliar dolar dengan pengujian otomatis dalam jumlah besar tidak dapat menemukan semua masukan yang buruk. Misalnya, lihat apa yang terjadi saat Anda mencoba menge-Tweet spasi dengan lebar nol (U+200B) di Twitter:
Meskipun ini bukan kesalahan berbahaya, dan pengguna pada umumnya tidak menge-Tweet unicode yang aneh, "kesalahan server internal" untuk masukan yang tidak terduga bukanlah pengalaman positif bagi pengguna, dan mungkin sebenarnya merupakan gejala masalah validasi string yang lebih dalam. Daftar Besar Senar Nakal dimaksudkan untuk membantu mengungkap masalah tersebut.
blns.txt terdiri dari string dan komentar yang dibatasi baris baru yang diawali dengan # . Komentar membagi string menjadi beberapa bagian agar mudah dibaca secara manual dan disalin/ditempel ke dalam formulir masukan. Bagi mereka yang ingin mengakses string secara terprogram, disediakan file blns.json yang berisi array dengan semua komentar dihapus (folder scripts berisi skrip Python yang digunakan untuk menghasilkan blns.json ).
Jangan ragu untuk mengirimkan permintaan tarik untuk menambahkan lebih banyak string, atau bagian tambahan. Namun, mohon jangan mengirim permintaan penarikan dengan string yang sangat panjang (255+ karakter), karena akan membuat daftar lebih sulit untuk dilihat.
Demikian pula, mohon jangan mengirimkan permintaan penarikan yang membahayakan kegunaan manual file tersebut . Ini termasuk string pengujian EICAR, yang dapat menyebabkan file ditandai oleh pemindai antivirus, dan file yang mengubah pengkodean blns.txt . Selain itu, jangan mengirim string karakter nol (U+0000), karena akan mengubah format file di GitHub menjadi biner dan menjadikannya tidak dapat dibaca dalam permintaan penarikan. Terakhir, saat menambahkan atau menghapus string, harap perbarui semua file saat Anda melakukan permintaan tarik.
Daftar Besar String Nakal dimaksudkan untuk digunakan pada perangkat lunak yang Anda miliki dan kelola . Beberapa dari Naughty Strings dapat menunjukkan kerentanan keamanan, dan akibatnya menggunakan string tersebut dengan perangkat lunak pihak ketiga mungkin merupakan kejahatan. Pengelola tidak bertanggung jawab atas tindakan negatif apa pun yang diakibatkan oleh penggunaan daftar tersebut.
Selain itu, Daftar Besar String Nakal bukanlah pengganti yang sepenuhnya komprehensif untuk pengujian keamanan/penetrasi formal untuk layanan Anda.
Berbagai implementasi Daftar Besar String Nakal telah sampai ke berbagai manajer paket. Itu dikelola oleh pihak luar, tetapi dapat ditemukan di sini:
| Perpustakaan | Link |
|---|---|
| simpul | https://www.npmjs.com/package/blns |
| simpul | https://www.npmjs.com/package/big-list-of-naughty-strings |
| .BERSIH | https://github.com/SimonCropp/NaughtyStrings |
| PHP | https://github.com/mattsparks/blns-php |
| C++ | https://github.com/eliabieri/blnscpp |
Silakan buka PR untuk mencantumkan yang lain.
Max Woolf (@minimaxir)
MIT
