一款能在GitHub代碼庫中探測密鑰的工具:Truffle Hog
工具簡介
這款名叫「Truffle Hog」的免費開源工具可以幫助開發人員檢測自己在GitHub上發布的項目代碼是否意外泄漏了密鑰。
Truffle Hog是一款採用Python開發的工具,它可以檢索GitHub代碼庫的所有代碼提交記錄以及分支,並搜索出可以表示密鑰(例如AWS密鑰)的高熵字元串。
運行機制
該工具的開發者Dylan Ayrey解釋稱:
「Truffle Hog會檢索代碼庫中每一個分支完整的代碼提交記錄,而且也會檢查每一次提交的git diff信息,然後對每一個長度超過20個字元的base64字符集和十六進位字符集的香農熵(Shannon entropy)進行估值。
如果TruffleHog檢測到了一個長度大於20個字元的高熵字元串,它便會將其列印輸出至屏幕。」
一些Reddit用戶目前已經在社區開始討論Truffle Hog了,因為在此之前有攻擊者曾利用工具在GitHub中搜索用戶意外泄漏的AWS密鑰,並將這些密鑰用於惡意的AWS實例之中。
由於這種類型的惡意活動會給亞馬遜公司帶來巨額的經濟損失,因此亞馬遜也將那些在公共代碼庫中意外泄漏了密鑰的AWS賬號暫時禁用了。
Dylan Ayrey是誰?
其實,有些用戶可能早就熟知Ayrey了。Ayrey在去年曾專門製作了一個演示demo來警告用戶「Pastejacking攻擊」危險性。這種基於JavaScript的攻擊可以修改用戶剪切板中的內容,然後誘使用戶在其他地方粘貼這些內容。
此時的用戶並不知道他們所粘貼的是惡意代碼,而這些惡意代碼則有可能在計算機中的任何地方得到執行。
Truffle Hog項目在GitHub上已經擁有超過700多位粉絲了,而這也使得該項目成了Ayrey繼Pastejack攻擊demo之後第二火爆的開源項目了。
開發人員不應該粗心大意
開發人員在將自己的項目代碼提交至GitHub之前,一定要再三檢查代碼中可能存在的敏感信息,而這一點安全研究專家也已經多次警告過社區的開發人員了。
在2013年1月份,GitHub也推出了一款新的內部搜索功能,開發人員可以利用這個功能來搜索代碼庫中的密碼、加密密鑰、以及其他的敏感數據。該服務一經推出,廣大用戶就立刻在GitHub中掃描到了大量意外泄漏的密鑰。
工具下載與安裝 – 【點擊閱讀原文進入GitHub主頁】
下載
python truffleHog.py https://github.com/dxa4481/truffleHog.git
安裝
Truffle Hog唯一的依賴組件就是GitPython,你可以通過下列命令搭建依賴環境:
pip install -r requirements.txt
* 參考來源:
securityweek
,
github
,FB小編Alpha_h4ck編譯,轉載請註明來自
FreeBuf.COM
※洋蔥服務為什麼沒被成功接盤?
※中國安全行業的下一波春天在哪兒?| FreeBuf對話金湘宇
※會說話的PPT | 思科安全如何防禦加密勒索軟體?
※Apache shiro 1.2.4版本遠程命令執行漏洞詳解
TAG:FreeBuf |
※objection-基於 Frida的iOS APP Runtime 探測工具
※Marktech Optoelectronics 和 Digi-Key 合作推出 定製型光電探測器
※美軍M4/M4E1聯合化學戰劑探測器 Joint Chemical Agent Detector
※Origin Wireless可藉助Wi-Fi信號來探測人在室內的輕微移動
※華中科技大學唐江團隊Nature Photonics:Cs2AgBiBr6單晶X射線探測器
※Adv.Funct.Mater.:基於多層二維NiPS3納米片的高性能紫外光電探測器
※Schiaparelli探測器公布著陸地點,或有助於發現火星生命
※使用Sysmon和Splunk探測網路環境中橫向滲透
※NASA使用HoloLens來研發下一代火星探測器
※Facebook要用AI提前探測恐怖主義,到哪一步了?
※美國11億美元木星探測器「朱諾」號Have problem!
※為NASA火星探測器研發人工智慧大腦:NeuralaA輪融資
※歐航局公布火星探測器Schiaparell墜毀報告:系軟體故障
※斯坦福大學Nat.Nanotech.:探測活細胞內吞作用膜曲率的納米級操作
※NASA加速應用機器學習探測太空,英特爾攜Nervana參與其中
※HXMT:以Hard模式首秀中國空間天文探測
※BepiColombo空間探測器明年發射 2025年抵達水星
※Gartner:探測與響應是各企業機構在2017年的首要安全事務
※宇宙神火箭攜OSIRIS-Rex探測器發射