淘气弦大名单

2020-05-24 23:29:52

“淘气字符串大列表”是一个不断演变的字符串列表,当用作用户输入数据时,这些字符串很可能会引发问题。这是为帮助自动和手动QA测试而设计的;无论何时您的QA工程师走进酒吧,它都很有用。

即使是拥有大量自动化测试的数十亿美元的公司也不可能发现每一个错误的输入。例如,看看当你试图在Twitter上发布一个零宽度空格(U+200B)时会发生什么:

虽然这不是恶意错误,并且典型的用户不会在tweet上发布奇怪的Unicode,但是内部服务器错误,因为意外输入对用户来说从来都不是一种积极的体验,实际上可能是更深层次的字符串验证问题的症状。“顽皮字符串大名单”旨在帮助揭示这些问题。

blns.txt由换行符分隔的字符串和注释组成,前面带有#。注释将字符串分成几个部分,便于手动阅读和复制/粘贴到输入表单中。对于那些希望以编程方式访问字符串的用户,提供了一个blns.json文件,其中包含一个剥离了所有注释的数组(脚本文件夹包含用于生成blns.json的Python脚本)。

您可以随时发送拉取请求,以添加更多字符串或其他部分。但是,请不要发送超长字符串(255个以上字符)的拉取请求,因为这样会使列表更难查看。

同样,请不要发送影响文件手动可用性的拉取请求。这包括可能导致防病毒扫描程序标记文件的EICAR测试字符串,以及更改blns.txt编码的文件。此外,不要发送空字符(U+0000)字符串,因为它会将GitHub上的文件格式更改为二进制,并在拉取请求中使其不可读。最后,在添加或删除字符串时,请在执行拉取请求时更新所有文件。

“顽皮字符串大列表”旨在用于您拥有和管理的软件。某些“淘气字符串”可能表示安全漏洞,因此在第三方软件中使用此类字符串可能是犯罪行为。维护人员不对使用列表导致的任何负面行为负责。

此外,BIG List of Naughty String并不能全面替代您的服务的正式安全/渗透测试。

“顽皮字符串大列表”的各种实现已经提供给了各种包管理器。这些是由外部各方维护的,但可以在以下位置找到: