文章总结: PayloadsAllTheThings是一个结构化Web安全知识库,提供漏洞测试路径、绕过方法、工具和实验素材。它按漏洞类型组织内容,包含README说明、样例文件、图示和BurpIntruder字典,适合授权测试、团队培训和代码审计参考。项目采用统一章节结构,支持GitHub协作和在线文档两种使用方式。 综合评分: 85 文章分类: WEB安全,安全工具,漏洞分析,渗透测试,安全培训
PayloadsAllTheThings:Web漏洞速查表
原创
攻防路 攻防路
攻防录
2026年5月5日 17:39 北京
在小说阅读器读本章
去阅读
简介
PayloadsAllTheThings 是一套按漏洞类型整理的 Web 安全知识库。它不只收 payload,还把绕过思路、测试方法、配图、样例文件和参考资料一起放进去了。
项目地址: https://github.com/swisskyrepo/PayloadsAllTheThings/
在线文档: https://swisskyrepo.github.io/PayloadsAllTheThings/
和很多“把 payload 往记事本里堆”的项目不一样,PayloadsAllTheThings 更像一套漏洞战术库。你能在里面看到同一个漏洞类型的默认打法、绕过路径、工具名单、实验链接和样例文件,而不是只看到几行字符串。
技术原理
这个仓库的优势,不是某一条 payload,而是“怎么把同一类漏洞的测试路径整理成能复用的套路”。
README 里写得很直接,每个章节通常会包含四类内容:
| 组件 | 作用 | 适合什么时候用 |
| — | — | — |
| README.md | 漏洞说明、利用思路、典型技巧、参考资料 | 先建立方法感 |
| Files/ | 样例文件、测试载荷、演示附件 | 做靶场和本地验证 |
| Images/ | 图示、流程图、结果图 | 快速看懂边界和差异 |
| Intruder/ | Burp Intruder 可直接喂的字典或样本 | 跑批量验证和模糊测试 |
本地拉下仓库后做了一次统计,当前仓库里能直接看到:
| 维度 | 数量 |
| — | — |
| 顶层漏洞章节 | 64 |
| README.md 文件 | 66 |
| 图片资源 | 83 |
| Intruder/ 目录 | 8 |
| Files/ 目录 | 12 |
它不是一份单文档,而是一套长期维护的漏洞材料库。
如果你看几个代表性章节,会发现它们几乎都不是“先丢 payload,再说别的”,而是先给测试路径,再给细分变体。
这些章节的共同点很明显:
- 先用
Summary把读者带进目录。 - 再按
Methodology、Bypass、Tools、Labs、References展开。 - 有图就给图,有文件就给文件,需要批量测试时再补
Intruder/。
这套写法很适合安全工作。因为真实测试不是一句 payload 打天下,而是先判断入口,再看过滤逻辑,再决定是人工验证、样例文件、还是批量 fuzz。
仓库根目录里放了 mkdocs.yml,主题用的是 Material for MkDocs。这意味着同一份 Markdown 内容,可以同时服务两种入口:
| 入口 | 优点 | 适合人群 |
| — | — | — |
| GitHub 仓库 | 方便协作、提交 PR、直接看原始文件 | 维护者、贡献者 |
| 在线文档站 | 搜索、目录、阅读体验更好 | 日常查资料的人 |
| 本地 clone + rg | 搜索速度快,适合离线整理 | 审计、培训、做手册的人 |
很多人第一次打开 PayloadsAllTheThings,容易把它当成“payload 仓库”。其实更好的用法是先按漏洞类别看测试路径,再决定要不要把某条样例拿去验证。
比如:
- SSRF 章节先讲目标、过滤绕过、协议利用,再落到工具和实验。
- Upload 章节先讲扩展名、MIME、魔术字节、文件名,再讲图像压缩、元数据和 ImageMagick。
- IDOR 章节会把枚举目标从数字 ID 扩展到邮箱、哈希、对象 ID 和通配符。
这才是它长期好用的原因。你拿到一个新系统时,不一定马上知道 payload,但通常能先知道“该从哪种路径试起”。
快速上手
1. 拉取仓库拉到本地
git clone https://github.com/swisskyrepo/PayloadsAllTheThings.git
cd PayloadsAllTheThings
ls
2. 从一个熟悉漏洞开始,先读 Summary 和 Methodology
sed -n '1,120p' 'Server Side Request Forgery/README.md'
sed -n '1,120p' 'Upload Insecure Files/README.md'
建议别一上来就看 payload。先看章节怎么分段,特别是 Summary、Methodology、Labs 这些位置,能更快建立测试路线。
3. 用 rg 按关键词横向搜索
rg -n "bypass|polyglot|metadata|redirect|gopher" .
rg -n "^## Tools" .
PayloadsAllTheThings 适合横向搜。比如你在做文件上传审计,想看 metadata、polyglot、magic bytes,直接搜会比一个个目录翻快很多。
使用场景
1. 授权测试前的速查
任务示例:接到一个 Web 审计项目,先按业务功能判断它更像 SSRF、上传、IDOR 还是模板注入,再去对应章节看测试路径。
技术要点:先看 Methodology 和 Tools,再决定是否要用章节里的样例素材,不要反过来先挑 payload。
2. 团队培训和知识库整理
任务示例:给新同事做 Web 安全培训,按章节挑 3 到 5 个漏洞家族,直接用仓库里的图和结构做讲义。
技术要点:这个仓库的好处是章节结构相对统一,拿来改内部文档时不容易散。
3. Burp、靶场和本地实验素材补充
任务示例:在授权靶场里补充文件样例、字典、截图和练习资料,不想每次都手工拼装。
技术要点:优先看 Files/ 和 Intruder/。这两个目录比 README 更像“能直接拿来练”的部分。
4. 代码审计时的思路校对
任务示例:审一段上传、跳转、模板渲染或参数鉴权逻辑时,用仓库对应章节做思路对照,避免只盯一种漏洞变体。
技术要点:它更适合做“思路清单”,而不是直接替代人工判断。特别是在授权控制、业务逻辑和上下文约束这类问题上,仍然要回到代码和流量本身。
往期推荐 📚
taste-skill:AI前端审美外挂
GPT-Image-2 提示词模板库
给 AI 装上黑客大脑:hack-skills
欢迎关注“攻防录”✨
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:攻防录 攻防路 攻防路《PayloadsAllTheThings:Web漏洞速查表》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论