侧边栏壁纸
博主头像
fragment博主等级

最真实的失望 去感受它 慢慢变成营养

  • 累计撰写 47 篇文章
  • 累计创建 13 个标签
  • 累计收到 4 条评论
标签搜索
未分类

【信息收集】github信息泄露-监控关键词及工具

fragment
fragment
2023-12-04 / 0 评论 / 0 点赞 / 896 阅读 / 2,182 字

github是很多开发都会借鉴学习代码、上传代码备份、文档的地方。
作为甲方公司需要关注留意公司内部是否存在员工大意或恶意泄露的信息。
因为这些信息在攻防演练中经常成为攻击方利用的点,也可能是真正恶意攻击人员会注意的信息。

github搜索入口:https://github.com/search/advanced
github搜索规则说明: GitHub Docs - https://docs.github.com/en/search-github

搜索关键字 —— 信息泄露场景:
邮箱后缀 —— 查询到对应公司内部员工疏忽大意泄露的信息
仓库名称 —— 把内部仓库提交到外部的代码泄露
公司名称、应用名、包名

重点关注信息:敏感信息
密钥 password, token, apikey,Authorization
签名 secret, 激活码,密码,凭证,secret.yaml
内网敏感系统的地址 域名、ip
人员信息、内部人员手机号、邮箱
运维、客服经理邮箱、开发设计图、客户信息、业务代码

文件扩展名-代码语言

  • extension:php
  • extension:java
  • extension:go
  • extension:cpp
  • extension:py 等

代码语言 language:bash
代码内容 import com.xxxx

敏感文档扩展名
extension:log
extension:sql
extension:doc
extension:docx
extension:xml
extension:txtextension:json
extension:csv
extension:bat
extension:pdf
extension:md

文件名称-备份文件
filename:bak

敏感配置 扩展名
extension:yml
extension:yaml
extension:wsdl
extension:conf
extension:bak
extension:xaml
extension:properties
extension:ini
filename:.gitconfig
filename:.env
extension:cfg
filename:.bashrc
filename:.bash_profile
filename:.bash_history
filename:settings.gradle
filename:config

参考:
03.GitHub信息收集 · d4m1ts 知识库 - https://blog.gm7.org/%E4%B8%AA%E4%BA%BA%E7%9F%A5%E8%AF%86%E5%BA%93/01.%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/01.%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86/3.%E6%95%8F%E6%84%9F%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86/03.github%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86
GitHub信息泄漏监控 - Open-Source Security Architecture - https://bloodzer0.github.io/ossa/infrastructure-security/network-security/network-security-monitor/github-monitor/

开源项目:
obheda12/GitDorker: A Python program to scrape secrets from GitHub through usage of a large repository of dorks. - https://github.com/obheda12/GitDorker/tree/master
damit5/gitdorks_go: 一款在github上发现敏感信息的自动化收集工具 - https://github.com/damit5/gitdorks_go

扩展:其他代码平台
GitLab: https://about.gitlab.com/
gitee: https://gitee.com/

补充:项目责任人无法联系时的处理方式
通过github官方渠道删除
提交内容删除请求 - GitHub Docs - https://docs.github.com/cn/site-policy/content-removal-policies/submitting-content-removal-requests
GitHub 私人信息删除政策 - GitHub Docs - https://docs.github.com/cn/site-policy/content-removal-policies/github-private-information-removal-policy
DMCA 删除政策 - GitHub Docs - https://docs.github.com/cn/site-policy/content-removal-policies/dmca-takedown-policy
参考:【事故】记一次意外把公司项目放到GitHub并被fork,如何使用DMCA下架政策保障隐私 - 掘金 - https://juejin.cn/post/7212838958032863293

0
版权归属: fragment
本文链接: /archives/信息收集github信息泄露-监控关键词及工具
许可协议: 本文使用《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》协议授权

评论区