黑客发布GitHub密钥定位工具“TruffleHog”

congtou 2017-1-10 工具介绍 0 1

究人员Dylan Ayrey发布工具,帮助管理员深入研究GitHub Commits,找到高熵密钥。这款工具名为“TruffleHog”,能通过Github定位高熵密钥,从而避免管理员暴露他们的网络和敏感数据。

黑客发布GitHub密钥定位工具“TruffleHog”-E安全

TruffleHog的开发人员Dylan Ayrey去年警告“粘贴劫持”攻击(Pastejack Attack)。他表示,这款工具将定位任何超过20个字符串的高熵密钥。

Ayrey表示,“TruffleHog”通过Git存储库搜索高熵字符串,深入挖掘提交历史(Commit History)和分支(Branch)

他表示,“这款工具能有效找到意外提交的高熵密钥。如果检测到高熵字符串超过20个,将打印到屏幕上。”

Ayrey表示,该工具搜索分支的整个提交历史,检查Commit中的每个diff,评估base64字符集的香农熵(Shannon Entropy)。此外,还评估大文本(blob)(每个大文本超过20个字符,且每个Diff中包含这些字符集)的香农熵。对该工具赞不绝口的用户声称,Amazon已经在搜索GitHub AWS密钥,并在发现任何密钥时关闭相应服务

1

安全专家常常警告开发人员,在GitHub上发布项目存在泄漏敏感数据的风险。 2013年1月,GitHub推出新的内部搜索功能,可以轻松查找密码、加密密钥和其它数据。当时,用户在GitHub上发现了几千个这样的隐私数据。

最近,专家警告Slack Bot的开发人员,他们在GitHub上发布Slack访问令牌,但却不知不觉地泄漏了敏感数据,包括商业关键信息。

目前TruffleHog在GitHub的星数(Star)超过700,成为继“Pastejack”(Ayrey开发的)之后第二个受欢迎的项目。

TruffleHog只依赖GitPython。TruffleHog下载地址:https://github.com/dxa4481/truffleHog

文章出处:E安全

转载请注明来自华盟网,本文标题:《黑客发布GitHub密钥定位工具“TruffleHog”》

喜欢 (1) 发布评论