黑客发布GitHub密钥定位工具“TruffleHog”
究人员Dylan Ayrey发布工具,帮助管理员深入研究GitHub Commits,找到高熵密钥。这款工具名为“TruffleHog”,能通过Github定位高熵密钥,从而避免管理员暴露他们的网络和敏感数据。
TruffleHog的开发人员Dylan Ayrey去年警告“粘贴劫持”攻击(Pastejack Attack)。他表示,这款工具将定位任何超过20个字符串的高熵密钥。
Ayrey表示,“TruffleHog”通过Git存储库搜索高熵字符串,深入挖掘提交历史(Commit History)和分支(Branch)
他表示,“这款工具能有效找到意外提交的高熵密钥。如果检测到高熵字符串超过20个,将打印到屏幕上。”
Ayrey表示,该工具搜索分支的整个提交历史,检查Commit中的每个diff,评估base64字符集的香农熵(Shannon Entropy)。此外,还评估大文本(blob)(每个大文本超过20个字符,且每个Diff中包含这些字符集)的香农熵。对该工具赞不绝口的用户声称,Amazon已经在搜索GitHub AWS密钥,并在发现任何密钥时关闭相应服务
安全专家常常警告开发人员,在GitHub上发布项目存在泄漏敏感数据的风险。 2013年1月,GitHub推出新的内部搜索功能,可以轻松查找密码、加密密钥和其它数据。当时,用户在GitHub上发现了几千个这样的隐私数据。
最近,专家警告Slack Bot的开发人员,他们在GitHub上发布Slack访问令牌,但却不知不觉地泄漏了敏感数据,包括商业关键信息。
目前TruffleHog在GitHub的星数(Star)超过700,成为继“Pastejack”(Ayrey开发的)之后第二个受欢迎的项目。
TruffleHog只依赖GitPython。TruffleHog下载地址:https://github.com/dxa4481/truffleHog
文章出处:E安全
官方 