因为找了很久有些是比较古老的字典，一直没收获，直到自己去整了一个。 字典包含我在野外看到的 API 函数名称。 所有 API 函数名称动词 所有 API 函数名称名词 API 函数名动词，前导字符大写 函数名称动词，前导字符小写 带有前导字符大写的 API 函数名称名词 带有前导字符小写的 API 函数名称名词

字典使用方法，懂的自然会用，字典量较大，使用时尽量在空余时间多的时候来跑 工具推荐：burpsuite,sqlmap,xssfork,Wfuzz,webdirscan 本字典从其他团队搬运而来，比较好用齐全

一些字典和常用工具的下载链接，工具有burpsuite,sqlmap,xssfork,字典有ctf字典，Api字典，js文件字典等等。

web渗透通用的fuzz字典，字典强大且小而精，是在web渗透前端奋斗师傅们所积累的，包含了“参数fuzz字典、xss-fuzz字典、用户名字典、密码字典、目录字典、sql-fuzz字典、ssrf-fuzz字典、XXE字典、ctf字典、Api字典、路由器后台字典、文件后缀Fuzz、js文件字典、子域名字典”，可以利用字典自带python脚本进行爆破，也可以配合burpsuite进行爆破。 转载于github作者TheKingOfDuck，fuzz连接https://github.com/TheKingOfDuck/fuzzDicts

fuzz大全，有多个fuzz字典，强无敌

模糊度 Web Pentesting Fuzz字典，一个就够了。 日志 不定期更新，使用前建议git pull一下，同步更新。 分享字典建议直接提交PR 20201202： 在目录字典下更新了一个师傅给的管理员目录变种。 20200510： 用户名字典下添加了一个百家姓top3000的拼音，去重后188条，攻击！！！ 20200420： 合并一个由提交的pr，测试常用手机号码top300 +，放在用户名字典里面，可以测试时可以试试；添加一份团队儿童师傅提供的某集团的弱密码字典。 20200410： 添加了centos和aix的/ etc /目录，放在ssrfDict里面，aix和其他系统区别还是蛮大的，实战一下RFI注意区别。 20200406： 合并一个由提交的pr，密码top19576。 20200410： 新增centOS和AIX主机的/ etc /目录的文件列表，放在s

phpmyadmin后台，后台管理路径爆破，以及，php常用路径爆破字典 平常渗透测试时用到的字典，包括50万条MD5，字典生产工具等。 Web Pentesting Fuzz字典，一个就够了。 目前phpMyAdmin3.2.5，phpMyAdmin3.2.1、phpMyAdmin2.11.2版本测试均成功！

SQL注入 FUZZ关键字 字典

sql关键字fuzz字典.txt