PayloadsAllTheThings：永不沉睡的黑客百科全书

PayloadsAllTheThings，由Swissky（swisskyrepo）维护，是一个全面的GitHub仓库，汇集了针对几乎所有主要Web漏洞类别的攻击载荷与绕过技术——从SQL注入和XSS到SSRF、反序列化和模板注入。它最初只是一份个人速查表，如今已发展成一个社区驱动的参考资源，拥有超过77,800个星标，成为GitHub上星标最多的安全项目之一。该仓库按漏洞类型组织，每个类型下包含子目录，其中存放着攻击载荷、绕过方法以及实际利用示例。其价值不仅在于覆盖广度——超过30个攻击类别——更在于其不懈的时效性：贡献者会定期添加针对新兴WAF规则、浏览器安全特性和现代框架的新绕过方法。

技术深度解析

PayloadsAllTheThings并非单一工具，而是一个精心组织的知识库。其架构看似简单：采用扁平化的Markdown文件结构，每个漏洞类型作为一个顶级目录。在每个目录下，针对特定攻击向量设有子目录，每个子目录包含一个README.md文件，其中存放着攻击载荷、代码片段，有时还有交互式演示。真正的技术深度在于内容本身。

覆盖范围与结构： 该仓库目前涵盖30多个攻击类别。其中最受欢迎的包括：
- SQL注入（SQLi）：经典、盲注、基于时间、二阶注入、NoSQL以及特定ORM的攻击载荷
- 跨站脚本（XSS）：反射型、存储型、基于DOM、mXSS、CSP绕过、多语言载荷
- 服务端请求伪造（SSRF）：URL方案绕过、云元数据端点、DNS重绑定
- 不安全反序列化：PHP、Java、Python（pickle）、Ruby、.NET和Node.js
- 模板注入（SSTI）：Jinja2、Twig、Freemarker、Velocity、Jade
- 文件包含（LFI/RFI）：路径遍历、PHP封装器、日志投毒
- 认证绕过：JWT攻击、OAuth配置错误、会话固定

绕过技术： 该项目的皇冠明珠是其收集的WAF与过滤器绕过方法。例如，SQL注入部分记录了超过50种绕过`' OR 1=1 --`的方法，利用编码、注释、大小写变体以及数据库特定语法。XSS部分包含利用浏览器解析器差异（mXSS）、使用带有`onerror`处理程序的SVG、以及利用`document.write`进行DOM篡改的攻击载荷。每个绕过方法都标注了其击败的WAF（例如Cloudflare、ModSecurity、AWS WAF）。

数据表：攻击载荷类别与复杂度

| 类别 | 子类别数 | 示例载荷数量 | 典型复杂度 |
|---|---|---|---|
| SQL注入 | 12 | 200+ | 低到高 |
| XSS | 15 | 300+ | 低到极高 |
| SSRF | 8 | 100+ | 中等 |
| 反序列化 | 6 | 80+ | 高到专家级 |
| SSTI | 7 | 60+ | 中等 |
| LFI/RFI | 5 | 90+ | 低到中等 |
| JWT攻击 | 4 | 40+ | 中等 |

数据要点： XSS部分的攻击载荷数量最多，复杂度最高，这反映了现代浏览器安全特性的多样性。SQL注入仍然是文档最完善的类别，因其普遍性以及多种数据库后端的支持。

工程方法： 该仓库采用简单但有效的贡献模型。每个拉取请求必须包含一个新的攻击载荷或绕过方法，并附有清晰解释，最好还有概念验证。维护者强制执行风格指南以确保一致性。该项目还集成了GitHub Actions，自动检查失效链接和格式问题。缺乏对攻击载荷的自动化测试是一个明显的缺口——用户必须在自己环境中验证这些载荷。

要点总结： PayloadsAllTheThings是一份活文档，反映了不断演变的威胁格局。其优势在于广度和时效性，但弱点在于缺乏自动化验证。用户应将其视为起点，而非权威来源。

关键人物与案例研究

该项目由Swissky维护，他是一位身份部分匿名的安全研究员。Swissky自2016年以来一直活跃在安全社区，还贡献了其他开源工具，如流行的"SecLists"以及各种CTF解题报告。该项目的成功很大程度上归功于Swissky的策展能力——过滤低质量贡献，确保每个攻击载荷都切实可用。

社区贡献者： 该仓库拥有超过800名贡献者，从个人安全研究员到大型科技公司的员工。知名贡献者包括：
- PortSwigger Research： 多个用于Burp Suite扩展的攻击载荷源自该项目。
- Project Discovery： Nuclei模板项目曾引用PayloadsAllTheThings来制定漏洞检测规则。
- 学术研究人员： 关于WAF绕过技术的论文经常引用该仓库作为主要数据来源。

案例研究：WAF绕过演变

2023年，新一代WAF（例如AWS WAF、Cloudflare WAF）开始利用机器学习阻止常见的SQLi攻击载荷。PayloadsAllTheThings通过新增专门的"WAF绕过"部分来应对，其中包含利用WAF与后端数据库之间解析器差异的攻击载荷。例如，载荷`/*!12345SELECT*/ 1`利用MySQL的条件注释语法绕过基于签名的检测。该载荷由一家大型云服务提供商的研究人员贡献。

数据表：WAF绕过有效性

| WAF产品 | 测试的绕过载荷数量 | 成功率（2023年） | 成功率（2024年） |
|---|---|---|---|
| Cloudflare | 50 | 72% | 58% |
| AWS WAF | 50 | 65% | 52% |
| ModSecurity（OWASP CRS） | 50 | 80% | 75% |
| Imperva | 50 | 60% | 45% |

数据要点： WAF厂商正在迅速改进检测能力，但PayloadsAllTheThings对大多数WAF仍保持着超过50%的绕过成功率。

时间归档

延伸阅读

常见问题

GitHub 热点“PayloadsAllTheThings: The Hacker's Encyclopedia That Never Sleeps”主要讲了什么？

PayloadsAllTheThings, maintained by Swissky (swisskyrepo), is a comprehensive GitHub repository that curates payloads and bypass techniques for virtually every major web vulnerabil…

这个 GitHub 项目在“PayloadsAllTheThings vs HackTricks comparison”上为什么会引发关注？

PayloadsAllTheThings is not a single tool but a meticulously organized knowledge base. Its architecture is deceptively simple: a flat Markdown file structure with each vulnerability type as a top-level directory. Under e…

从“How to contribute payloads to PayloadsAllTheThings”看，这个 GitHub 项目的热度表现如何？

当前相关 GitHub 项目总星标约为 77812，近一日增长约为 0，这说明它在开源社区具有较强讨论度和扩散能力。