跳转至

贡献指南

PayloadsAllTheThings 团队 ❤ 拉取请求 (Pull Requests)。

欢迎使用您的 Payloads 和技术来改进项目!

您也可以在现实生活中通过 🍻 做出贡献,或者使用 赞助 (sponsor) 按钮。

拉取请求指南 (Pull Requests Guidelines)

为了给社区提供最安全的 Payloads,每个拉取请求都必须遵循以下规则。

  • Payloads 必须经过脱敏处理
    • 在远程代码执行 (RCE) 的概念验证 (PoC) 中使用 idwhoami
    • 当用户需要替换回调域名时使用 [REDACTED]。例如:XSSHunter, BurpCollaborator 等
    • 当 Payload 需要 IP 地址时,使用 10.10.10.1010.10.10.11
    • 对特权用户使用 Administrator,对普通账户使用 User
    • 在示例中使用 P@ssw0rdPassword123password 作为默认密码
    • 优先使用常见的机器名称,如 DC01EXCHANGE01WORKSTATION01
  • 参考资料必须包含 author(作者)、title(标题)、link(链接)和 date(日期)
    • 如果原始参考资料已失效,请使用 Wayback Machine
    • 日期格式必须遵循 Month Number, Year,例如:December 25, 2024
    • 对 Github 仓库的引用必须遵循此格式:[author/tool](https://github.com/URL) - 描述

每个拉取请求都将通过 markdownlint 进行检查,以确保书写一致和符合 Markdown 最佳实践。您可以使用以下 Docker 命令在本地验证您的文件:

docker run -v $PWD:/workdir davidanson/markdownlint-cli2:v0.15.0 "**/*.md" --config .github/.markdownlint.json --fix

技术文件夹 (Techaniques Folder)

每个章节都应包含以下文件,您可以使用 _template_vuln 文件夹创建一个新的技术文件夹:

  • README.md: 漏洞描述以及如何利用它,包含多个 Payloads,详见下文
  • Intruder: 提供给 Burp Intruder 的一组文件
  • Images: README.md 的图片
  • Files: README.md 中引用的一些文件

README.md 格式

使用示例文件夹 _template_vuln/ 创建新的漏洞文档。主页面是 README.md。它由标题和漏洞描述部分组成,并带有一个链接到文档主要部分的目录摘要表。

  • 工具 (Tools): 列出相关工具及其仓库链接和简要说明。
  • 方法论 (Methodology): 提供所用方法的快速概览,并附带演示利用步骤的代码片段。
  • 实验环境 (Labs): 引用可以练习类似漏洞的在线平台,每个平台都有指向相应实验的链接。
  • 参考资料 (References): 列出外部资源,如博客文章或文章,提供与该漏洞相关的额外背景或案例研究。