Вооружаем веб-фаззинг языковыми моделями: генерируем контекстуальные словари, которых нет в SecLists

Если при фаззинге веб-сервиса вы используете словари типа common.txt или raft-*, вы скорее всего упускаете самые интересные пути.

Основная проблема популярных словарей — отсутствие контекста о компании, которую вы сканируете. Типовой словарь не учитывает продукты и интеграции организации, внутренние сокращения, технологический стек и самое важное — структуру конкретного приложения.

Секрет успешного фаззинга — это контекст.
Чтобы найти уникальные эндпоинты, нужно понимать логику разработчиков конкретного проекта:
➡️ Как они называют внутренние сервисы?
➡️ Какие JS-модули используются в коде?
➡️ Какие сокращения приняты в компании?

Здесь на сцену выходят LLM.
Современные модели идеально подходят для того, чтобы на основе вводных разведданных (OSINT) сгенерировать уникальный wordlist, заточенный под конкретную цель. При этом будут учтены названия брендов, версии API, специфические расширения файлов и отсечен явный мусор.
Ниже — промпт, который превращает LLM в генератор релевантных путей для фаззинга веб-приложений. ⬇️

Ты — эксперт по web-фаззингу, безопасности веб-приложений и OSINT.

Задача: создать контекстуальный wordlist для фаззинга веб-директорий и файлов (для брутфорса путей) для целевого проекта, на тестирование которого у меня есть разрешение.

Входные данные:
- Основные домены и поддомены компании: <ВСТАВЬ_ДОМЕНЫ_И_ПОДДОМЕНЫ>
- Название компании и брендов: <НАЗВАНИЕ_КОМПАНИИ_И_БРЕНДОВ>
- Описание сферы деятельности (если известно): <СФЕРА_ДЕЯТЕЛЬНОСТИ>

Твой план работы:
1. Изучи открытую информацию о компании и её продуктах/услугах (только публично доступные данные).
2. Изучи структуру указанных сайтов:
   - пути в URL;
   - названия разделов;
   - параметры запросов;
   - названия файлов.
3. Изучи публично доступные JavaScript-файлы:
   - пути к API и endpoint’ы;
   - упоминания директорий и файлов;
   - ключевые названия модулей, компонентов, сущностей.
4. На основе контекста (сайты, JS, тексты страниц, названия продуктов, внутренних терминов) сформируй максимально релевантный wordlist для фаззинга директорий и файлов.

Требования к словарю:
- Включай:
  - возможные директории (например: auth, account, admin, api, static, config и т.п., но только если они логично вытекают из контекста);
  - имена модулей, сущностей, продуктов, внутренних систем;
  - варианты написания: kebab-case, snake_case, camelCase (где уместно);
  - варианты с распространёнными расширениями файлов: .php, .aspx, .asp, .js, .json, .bak, .old, .zip, .tar, .tar.gz, .sql, .txt, .xml, .config и т.д. — только если они выглядят реалистично для данного стека/контекста;
  - логичные комбинации (например, api/v1/, panel/, dashboard/, admin-panel/, mobile/, internal/ и т.п., если это следует из контекста).
- Удали дубликаты.
- Не включай явно «мусорные» или бессмысленные строки.
- Не добавляй явных секретов/ключей/паролей (если вдруг встретишь) — их игнорируй.
- Старайся, чтобы словарь был сфокусирован именно на данном проекте, а не просто набором общих слов.

Формат вывода:
- Только готовый wordlist.
- Одна директория/файл/вариант в строке.
- Без комментариев, без пояснений, без заголовков, без нумерации и без лишнего текста.

Уже послезавтра, 25 декабря, состоится наш заключительный в этом году Open Day, День открытых дверей.

Поговорим о том, каким был для нас 2025 год.

В 19:00 (мск) Егор Богомолов:
✅ Подведёт ключевые итоги года — цифры, события, победы.
✅ Расскажет о самых важных обновлениях, которые вы, возможно, пропустили.
✅ Поделится большими целями на 2026 год.

👉 Забронируйте место на онлайн-встрече

Остались вопросы? Задайте их в telegram-канале мероприятия, там же вы найдёте лучшие моменты прошлых встреч.

Ждём вас 25 декабря, чтобы вместе завершить этот продуктивный год.

Через полчаса в 19:00 мск встречаемся на Open Day 4.0 😎

Ссылка на эфирную комнату сегодня в 19:00 мск: https://eventscybered.ktalk.ru/getttc4rsgpt

Коллеги, а давайте до праздников

подведём итоги года Singleton Security

📍 Закрыли 87 проектов, обнаружили 842 уязвимости, из которых 258 критических и high

📍 Запустили стажировку (набор круглогодичный) — и один новобранец даже успел пройти путь от стажёра до полноправного бойца команды.

📍 Обзавелись внутренним маскотом — призраком Бобославом, который поддерживает команду морально, стоя у каждого персонально за спиной 👻

📍 Совместно с партнёрами из Кибердома и Акрибии провели исследование трендов кибербезопасности в финансовой сфере РФ

📍 Опубликовали больше трёх десятков статей и комментариев в СМИ, а кейс baksist с пентестом провайдера вошёл в спецвыпуск Хакера с лучшими материалами за 2025 год

…А ещё учили белых хакеров в Зимбабве, набивали руку в Standoff и получали новые сертификаты.

Поздравляем с наступающим Новым годом! И желаем в новом году 👇🏻

- Клиентам: сил и боевой готовности к любым неожиданным событиям 💪🏻

- Команде: готовности к новым вызовам 🙃

- Партнёрам: новых высот и надёжных людей рядом 🫂

- Нам всем: бесконечного спокойствия 💆🏻

С Новым годом! 🎉