首页 > 网络安全频道 > 网络安全 > 正文
黑客发布GitHub密钥定位工具“TruffleHog”
2017-01-11     我来说两句       作者:
   我要投稿

  研究人员Dylan Ayrey发布工具,帮助管理员深入研究GitHub Commits,找到高熵密钥。这款工具名为“TruffleHog”,能通过Github定位高熵密钥,从而避免管理员暴露他们的网络和敏感数据。

  TruffleHog的开发人员Dylan Ayrey去年警告“粘贴劫持”攻击(Pastejack Attack)。他表示,这款工具将定位任何超过20个字符串的高熵密钥。

  Ayrey表示,“TruffleHog”通过Git存储库搜索高熵字符串,深入挖掘提交历史(Commit History)和分支(Branch)

  他表示,“这款工具能有效找到意外提交的高熵密钥。如果检测到高熵字符串超过20个,将打印到屏幕上。”

  Ayrey表示,该工具搜索分支的整个提交历史,检查Commit中的每个diff,评估base64字符集的香农熵(Shannon Entropy)。此外,还评估大文本(blob)(每个大文本超过20个字符,且每个Diff中包含这些字符集)的香农熵。对该工具赞不绝口的用户声称,Amazon已经在搜索GitHub AWS密钥,并在发现任何密钥时关闭相应服务。

  安全专家常常警告开发人员,在GitHub上发布项目存在泄漏敏感数据的风险。 2013年1月,GitHub推出新的内部搜索功能,可以轻松查找密码、加密密钥和其它数据。当时,用户在GitHub上发现了几千个这样的隐私数据。

  最近,专家警告Slack Bot的开发人员,他们在GitHub上发布Slack访问令牌,但却不知不觉地泄漏了敏感数据,包括商业关键信息。

  目前TruffleHog在GitHub的星数(Star)超过700,成为继“Pastejack”(Ayrey开发的)之后第二个受欢迎的项目。

  TruffleHog只依赖GitPython。

点击收藏到自己的收藏夹!回本站首页
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:晒登机牌不止拉仇恨还会引来骗子!
下一篇:黑客敲诈不成反被悬赏三十比特币追捕
相关文章
图文推荐
排行
热门
网站
工具
无线
关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 中国黑帽网--致力于做最好的网络安全技术学习网站 。