设为首页 - 加入收藏 - 网站地图 SecYe安全 Www.SecYe.Com - 国内网络信息安全IT技术门户网
当前位置:首页 > 安全中心 > 安全资讯 > 正文

黑客发布GitHub密钥定位工具“TruffleHog”

时间:2017-01-11 14:16 来源:E安全 作者:SecYe安全 阅读:

  研究人员Dylan Ayrey发布工具,帮助管理员深入研究GitHub Commits,找到高熵密钥。这款工具名为“TruffleHog”,能通过Github定位高熵密钥,从而避免管理员暴露他们的网络和敏感数据。

  

  TruffleHog的开发人员Dylan Ayrey去年警告“粘贴劫持”攻击(Pastejack Attack)。他表示,这款工具将定位任何超过20个字符串的高熵密钥。

  Ayrey表示,“TruffleHog”通过Git存储库搜索高熵字符串,深入挖掘提交历史(Commit History)和分支(Branch)

  他表示,“这款工具能有效找到意外提交的高熵密钥。如果检测到高熵字符串超过20个,将打印到屏幕上。”

  Ayrey表示,该工具搜索分支的整个提交历史,检查Commit中的每个diff,评估base64字符集的香农熵(Shannon Entropy)。此外,还评估大文本(blob)(每个大文本超过20个字符,且每个Diff中包含这些字符集)的香农熵。对该工具赞不绝口的用户声称,Amazon已经在搜索GitHub AWS密钥,并在发现任何密钥时关闭相应服务。

  

  安全专家常常警告开发人员,在GitHub上发布项目存在泄漏敏感数据的风险。 2013年1月,GitHub推出新的内部搜索功能,可以轻松查找密码、加密密钥和其它数据。当时,用户在GitHub上发现了几千个这样的隐私数据。

  最近,专家警告Slack Bot的开发人员,他们在GitHub上发布Slack访问令牌,但却不知不觉地泄漏了敏感数据,包括商业关键信息。

  目前TruffleHog在GitHub的星数(Star)超过700,成为继“Pastejack”(Ayrey开发的)之后第二个受欢迎的项目。

本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)

点击复制链接 与好友分享!

顶一下
(0)
0%
踩一下
(0)
0%