GitHub寻找敏感信息泄露- 黑龙江微帮便民信息平台，微帮便民信息网，微帮公众号，微帮招聘，微信推广平台，微帮仪陇家园网

GitHub寻找敏感信息泄露

2021年07月29日 06:53 浏览：0 来源：小报道

GitHub寻找敏感信息泄露

黑客技术 2021-06-26185

众所周知，当今是大数据时代，大规模数据泄露事情一直在发生，从未停止过，但有些人不知道的是很多时候一些敏感信息的泄露其实是我们自己无意中造成的，然而一个小疏忽，往往却造成一系列连锁反应……
Github上敏感信息的泄露，就是一个典型的例子,Github虽然方便开发者，但其中也埋藏着一些安全隐患。

下面介绍几种常用的姿势：

Github之邮件配置信息泄露

很多网站及系统都会使用pop3和smtp发送来邮件，不少开发者由于安全意识不足会把相关的配置信息也放到Github上，所以如果这时候我们动用一下google搜索命令语句，构造一下关键字，就能把这些信息给找出来了。

各种姿势：

site:Github.com smtp site:Github.com smtp @qq.com site:Github.com smtp @126.com site:Github.com smtp @163.com site:Github.com smtp @sina.com.cn site:Github.com smtp password site:Github.com String password smtp……

我们也可以锁定域名搜索结合厂商域名灵活运用

例如搜百度的

site:Github.com smtp @baidu.com

Github之数据库信息泄露

各种姿势：

site:Github.com sa password site:Github.com root password site:Github.com User ID='sa';Password

Github之svn信息泄露

各种姿势：

site:Github.com svn site:Github.com svn username site:Github.com svn password site:Github.com svn username password

Github之数据库备份文件

各种姿势：

site:Github.cominurl:sql

……

这个往往能收到不少好东西一个数据库备份文件从而找到后台管理员账号密码找到地址登陆后台这样的例子有不少

Github之综合信息泄露

各种姿势：

site:Github.com password site:Github.com ftp ftppassword site:Github.com 密码 site:Github.com 内部

顺便推荐几款用于查找GitHub敏感信息泄露的工具。

GitMAD是一个用于发现Github上的敏感信息和数据泄漏的工具。通过给定关键字或域，GitMAD便会搜索Github上托管的代码，以查找是否存在匹配项。一旦找到了匹配项，GitMAD将克隆存储库并在文件中搜索一系列可配置的正则表达式。然后，GitMAD会获取这些结果，并将它们插入到数据库中供后续的查看使用。这些结果也可作为邮件警报发送。另外，GitMAD将持续运行以发现与输入关键字匹配的新存储库。

输入

除此之外，用户还可以配置每次搜索的最大结果量，搜索间隔时间以及要克隆的存储库的大小范围。有两种模式，Monitor和Discovery。Discovery模式将在每次运行时提取并搜索新结果。Monitor模式则会首先下载给定关键字/域的所有匹配项搜索它们，然后继续搜索新结果。

处理

GitMAD从上面获取结果并搜索存储库的Git历史记录。搜索历史记录以查找一组可配置的正则表达式。GitMAD还可以对历史文件的每一行进行分解，并在信息熵（Shannonentropy）中搜索匹配项。

配置文件

regex_matches.py

这是将关键字和正则表达式放在存储库内容中进行搜索的位置，只需在下面的列表中添加字典即可：

to_match =[     {'match_regex' : r'password', 'match_type': 'PasswordMatch'},     {'match_regex': r'\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}', 'match_type':'IPMatch'},     {'match_regex': r'username', 'match_type': 'UsernameMatch'},     {'match_regex': r'\b[\w.]*@[\w]*\.[\w.]*\b', 'match_type': 'EmailMatch'}     ]

entropy_whitelist.py

这是移除Entropy功能匹配你不想要的项目位置。只需在下面的列表中添加字典即可：

r_whitelist = [{'regex':r'\b[A-Za-z][a-z]+([A-Z][a-z]*)+\b'}] # Camel Case

输出

GitMAD获取上面的结果，并将它们插入到一个数据库中，该数据库包含有关找到匹配项的文件以及存储库的信息。它还插入了匹配的字符串和匹配的行。这些结果可通过邮件警报，数据库和Web应用获得。

安装

GitMAD最初是在Windows上用Python3.6编写的。它也在Ubuntu18.04上进行了测试。

环境要求：

Python3.6+Pipfor Python3GitMySQL8.0

如果是Windows系统你可以直接从Oracle网站下载MySQL8.0。如果是Ubuntu18.04，其默认版本仍为5.7，因此你必须升级你的当前版本：

wget-c https://dev.mysql.com/get/mysql-apt-config_0.8.12-1_all.debsudo dpkg -i mysql-apt-config_0.8.12-1_all.deb#select version 8.0sudo apt updatesudo apt install mysql-serversudo mysql_secure_installation

Ubuntu18.04 安装步骤

克隆存储库并进入到目录：

git clone https://github.com/deepdivesec/GitMAD.gitcd GitMAD

安装依赖项：

pip3 install -r requirements.txt

向MySQL添加脚本：

$sudo mysql -u username -pmysql> source /<path-to-gitmad>/GitMAD/github_search_db.sql

运行main.py并在首次运行时输入配置信息：

python3 /<path-to-gitmad>/GitMAD/main.py -q <keyword-to-search> [seeother options below]

运行Web应用：

python3 /<path-to-gitmad>/GitMAD/web_home.py6）（可选）下载并安装MySQLWorkbench与结果直接进行交互。

Ubuntu安装动图请在此处查看：https://github.com/deepdivesec/GitMAD/tree/master/GitMAD-install

已知问题

有时，无论存储库的大小如何，GitHubAPI都会返回0。该问题尚未处理，而被克隆的存储库大于-mx/--max的大小这个问题，正在处理中。

gitrob
Ruby开发，支持通过postgresql数据库https://github.com/michenriksen/gitrob

weakfilescan
Python开发，多线程，猪猪侠开发中文注释，个性化定制，需要beautifulsoup4用于渗透人员在对网站进行网站渗透时查找敏感文件（配置文件、临时文件）、敏感目录，会首先爬取目标站点的三层目录资源，生成目录FUZZ和文件FUZZ
https://github.com/ring04h/weakfilescan

GitPrey
Python开发，国人开发中文支持，用于企业搜索关键词，及时发现潜在的敏感信息，需要登录https://github.com/repoog/GitPrey

打开APP阅读全文

Keywords" 仪陇网、仪陇生活网、专注仪陇本地信息真实传递_仪陇网d-sj.cn/学法减分好助理答题神器一扫就出答案、学法减分好助理扫一扫知道答案app、学法减分好助理考试题库、学法减分好助理20道题模拟考试、学法减分好助理可以减多少分?、学法减分好助理拍照搜题秒出答案免费、学法减分好助理拍照搜题、学法减分好助理拍照搜题秒出答案、学法减分好助理可以申请几次?、学法减分好助理题库最新版、仪陇生活网、仪陇生活网招聘、仪陇招聘驾驶员、仪陇新政有哪些厂还在招工、仪陇人才网、仪陇在线、仪陇新政最新急招聘58同城、仪陇新政哪有做兼职的、仪陇县招聘信息最新招聘仪陇生活网招聘、仪陇招聘网最新招聘信息、仪陇生活网二手房、仪陇生活网最新消息、仪陇生活网门面转让、仪陇生活网住房出租最新消息、仪陇生活网发布了信息如何取消、四川仪陇生活网、仪陇人才招聘信息生活网、仪陇生活网、仪陇生活网招聘、仪陇招聘网最新招聘信息、仪陇生活网最新消息、仪陇生活网门面转让、仪陇生活网二手房、仪陇生活网住房出租最新消息、仪陇生活网最新招聘暑假工、四川仪陇生活网、仪陇手机生活网、仪陇招聘网最新招聘信息、仪陇招聘驾驶员、仪陇县租房信息、仪陇新政招聘网最新招聘、仪陇找工作、仪陇最新招聘、仪陇生活网招聘、仪陇人才网、仪陇招聘信息招聘仪陇招聘信息信息、仪陇招聘c1驾照、仪陇房价、四川仪陇县房价多少钱一平方米、仪陇县房价现在是多少、仪陇房产网、仪陇新政房价多少钱一平米、仪陇新政房价、仪陇房价为什么这么高、仪陇房价多少钱一平方、仪陇房价如何走、仪陇房价为什么这么高2019、仪陇新闻网、仪陇新闻网头条、仪陇新闻最新消息今天、仪陇新闻网今日新闻、仪陇新闻直播、仪陇新闻网丁强、仪陇新闻网直播视频、仪陇新闻视频、仪陇新闻综合频道直播、仪陇广告公司、仪陇广告语、仪陇金山广告、仪陇驾校、仪陇驾校报名费用、仪陇驾校C1多少费用、仪陇驾校88队哪个教练好、仪陇驾校在什么地方、仪陇驾校科目一考试、仪陇驾校学费、仪陇驾校科一早上笫一堂几点、仪陇驾校蒲、仪陇坤安驾校、仪陇工厂招聘、仪陇工厂有拿回家干的活吗?、仪陇新政工厂招聘、仪陇新政招聘信息工厂、仪陇家电维修、仪陇家电回收、仪陇家电清洗、仪陇电脑维修哪家好、仪陇电脑城在哪里、仪陇电脑销售在什么地方、仪陇电脑回收、仪陇电脑培训、仪陇电脑商家、壹家电脑维修、仪陇二手家具市场、仪陇家具城、仪陇家具厂、仪陇家具维修师傅、仪陇家具定制、仪陇家具厂网上程、仪陇家具市场、仪陇家具城在哪里、仪陇二手家具回收、南充仪陇二手家具市场、四川仪陇房产信息网、仪陇马鞍房价、广西桂林房价、仪陇一中录取分数线2021、仪陇翰林锦府、仪陇金城二手房的房价、仪陇房价为什么这么高、仪陇新政租房最新消息、仪陇县金城镇房价下跌、仪陇县招聘信息最新招聘、仪陇房产网、仪陇河西工业区招聘、仪陇门面出租、四川仪陇黑老大周超、仪陇县金城镇二手房最新消息、仪陇新政本地招聘启事、四川仪陇新镇最新招聘、仪陇县找工作生活网、如何自学电脑维修、娄星区关家垴附近电脑维修、恒达行家维修培训怎么样、珠海唐家电脑维修、台式机维修去哪家好、笔记本维修哪家好、仪陇电脑维修哪家好、电脑维修公司哪家好、秀洲区电脑维修哪家好、仪陇新政本地招聘启事、仪陇县金城镇二手房最新消息、仪陇招聘网最新招聘信息、仪陇新政有哪些厂还在招工、仪陇县河西工业区招工、南部人才网、四川仪陇黑老大周超、仪陇新政哪有做兼职的、四川仪陇新镇最新招聘、长津湖电影、长津湖电影时间多长、长津湖电影完整版免费观看、长津湖电影观后感、长津湖电影完整版免费观看HD、长津湖电影完整版免费观看2021、长津湖电影完整版免费观看网站、长津湖电影观后感500字、长津湖电影票多少钱一张、长津湖电影票购买、长津湖成影史历史片票房冠军、长津湖电影完整版免费观看、长津湖3个冰雕连仅2人生还、长津湖战役、长津湖2021免费完整版观看、长津湖票房破30亿、长津湖作文、长津湖观后感、长津湖手抄报、长津湖观后感10篇、刷手机下拉示选上海百首网络、刷手机下拉述约上海百首网络、刷手机下拉安选上海百首网络、刷手机下拉尚选上海百首网络、刷手机下拉安信上海百首网络、苹果手机下拉菜单、华为手机不能下拉、手机下拉功能在哪里设置、手机下拉设置在哪里设置、手机不能下拉通知栏、仪陇天气、仪陇房产网新楼盘、仪陇县楼盘房价最新消息、仪陇县、仪陇天气预报15天、仪陇县房价、仪陇招聘网最新招聘信息、仪陇属于四川哪个市、仪陇县金城镇、仪陇网、仪陇房产网新楼盘、仪陇县招聘网、仪陇网上在逃人员、仪陇网吧多久开业、仪陇网约车平台、仪陇网红地、仪陇网吧、仪陇网吧开门了吗、仪陇网络电视台、仪陇生活网、仪陇生活网招聘、仪陇生活网最新招聘信息、仪陇生活网最新消息、仪陇生活网门面转让、仪陇生活网二手房、仪陇生活网发布了信息如何取消、四川仪陇生活网、仪陇手机生活网、仪陇人才招聘信息生活网、仪陇丁家大院、仪陇森家环保、仪陇县房价、仪陇二手房、仪陇二手房出售信息、仪陇房产查询系统、仪陇房子出售、仪陇房子能不能买、仪陇房子贵、仪陇房子还会拆迁、仪陇房子出租、仪陇首座房子好不好、仪陇房产网新楼盘、仪陇房产网、仪陇房产备案查询、仪陇房产信息网、仪陇房产查询系统、仪陇房产管理局官网、仪陇房产交易网、仪陇房产价格、仪陇房产中介、仪陇房产局、仪陇河西工业区有些什么厂、仪陇县河西工业区招工、仪陇河西工业园2020招聘、仪陇河西电子厂招聘信息、仪陇河西招聘驾驶员、仪陇河西大华宝公学、仪陇河西工业区有哪些制衣厂、仪陇河西工业园、仪陇河西工业区电子厂、仪陇河西工业区灯泡厂、薇仪陇之家、薇仪陇生活网新政房价、仪陇新政房价、仪陇新政二手房出售、仪陇新政楼盘、仪陇在线、仪陇生活网、仪陇生活网是大家了解仪陇的资讯窗口，同时也是仪陇人的网上家园，为大家提供免费查询发布仪陇便民生活信息，是仪陇地区综合信息门户网站！