文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

黑客扫描全网 Git 配置文件并窃取大量云凭据

暴露的 Git 配置文件Git 配置文件(例如 /.git/config 或 .gitlab-ci.yml)用于定义各种配置,例如存储库路径、分支、远程,有时甚至是 API 密钥、访问令牌和密码等身份验证信息...为方便起见,开发人员可能会将这些密钥包含在私有存储库中,从而使数据传输和 API 交互更加容易,而无需每次都配置或执行身份验证。只要存储库与公共访问适当隔离,这就不会有风险。...扫描只是检查 Laravel 应用程序中的 /.git/config 文件和环境文件 (.env) 是否暴露,其中也可能包含 API 密钥和云凭据。...在公开的 URL 中,有 28,000 个对应于 Git 存储库,6,000 个是 GitHub 令牌,值得注意的是,有 2,000 个被验证为有效凭证。...软件开发人员可以通过使用专用的密钥管理工具来存储其密钥,并使用环境变量在运行时配置敏感设置,而不是在 Git 配置文件中对其进行硬编码,从而降低风险。

85810

Github敏感数据分析

很少有数据存储库可以比GitHub更广泛地应用于代码开发生产,然而,正如老话所说的“速度越快,风险越大”。研究人员发现公共GitHub帐户具有极高泄露敏感信息的可能,数据丢失和持续泄露事件风险增加。...硬编码API Key和认证令牌 研究人员在24000多个GitHub文件中识别出2464个API密钥和1998个OAuth令牌。...曾经也发生过API密钥泄漏事件,以UpGuard报告为例,攻击者通过GitHub公开了将近1GB的数据,包括AWS API密钥、日志文件等。...这些基于web的配置文件可能会公开组织的云基础设施,使攻击者能够轻松访问云服务器内部。 ? 研究人员发Shell、SSH、profile和Git配置文件也出现在标识的配置文件前十个列表中。...总结 研究人员发现用户将敏感数据上传到GitHub,这些敏感数据包括: 硬编码用户名和密码、硬编码的API密钥、硬编码OAuth令牌、内部服务和环境配置 研究人员强烈建议,彻底扫描从公共存储库(如GitHub

2.4K20
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    21条最佳实践,全面保障 GitHub 使用安全

    根据2019年发布的一项研究,在对公共 GitHub 存储库进行全面扫描后,该平台上共发现了超过57万个敏感数据实例,例如 API 密钥,私有密钥,OAuth ID,AWS 访问密钥 ID 和各种访问...更令人担忧的是,GitHub 上有542个 Stripe Standard API 密钥公开可用。...切勿在 GitHub 上存储凭据和敏感数据 GitHub 的目的是托管代码存储库。除了在帐户上设置的权限之外,没有其他安全方法可以确保您的密钥、私钥和敏感数据保留在受控且受保护的环境中。...首先使代码中的任何令牌和密钥失效。第二步是使用 git filter-branch 命令清除和重写存储库的历史记录。进一步向上游更改提交很重要,因为它会影响所有已经完成的后续提交。...在开发模式和本地主机中,软件开发需要访问这些令牌和密钥。.gitignore将确保您的敏感数据不会意外合并并推送到 GitHub 存储库。 ​ 21.

    2.9K40

    内部网络GitLab审计:公开项目的安全风险与自动化检测

    审计GitLab:内部网络中的公开GitLab项目在内部渗透测试中,一个容易被忽视的敏感信息藏匿点就是那些明目张胆存在的密钥。也就是说,在内部网络的许多情况下,这些地方根本不需要身份验证。...我在组织的内部网络中无数次遇到内部GitLab实例,其中许多都有一个共同点:它们的许多项目都设置为“公开”。有人可能会想或脱口而出:“首先,你需要一个有效的帐户登录GitLab才能访问这些项目。”...对此,我充满活力地说:“错误!”在GitLab中,当项目范围设置为“公开”时,任何有网络访问权限的人仍然可以访问。...在撰写本文时,这些工具的许多缺点之一是依赖于身份验证进行大规模自动化扫描,但这也可以从未经身份验证的上下文中完成(当GitLab公共仓库API可访问时)。...结束语在你的下一次内部网络渗透测试中,注意那些具有公开项目和API访问权限的GitLab实例!你可能会对你可能发现的东西感到惊讶我希望这篇博客文章激励你为开源做贡献并创建自己的工具。

    32610

    GitHub代码删了也无用,任何人仍可永久访问?!微软:这不是Bug而是有意设计...

    研究人员也调查了一家大型 AI 公司的 3 个经常被 fork 的公共存储库,从中轻松地找到了 40 个来自已删除 fork 存储库的有效 API 密钥。其推测正常用户的行为模式似乎是这样的:1....Fork 存储库。2. 将 API 密钥硬编码到一个示例文件中。3. 的编码工作>4. 删除 fork 存储库。但这样做,情况会变得更糟,还会造成反向效果。...在将“上游”存储库公开后,对私有 fork 存储库所做的任何提交都不可查看。这是因为更改私有“上游”存储库的可见性会产生两个存储库网络——一个用于私有版本,一个用于公共版本。...短 SHA-1 值是避免与其他 commit hash 值发生冲突时所需的最少字符数,绝对最小值为 4。所有 4 字符 SHA-1 值的密钥空间为 65,536 (16^4)。...这进一步证实了研究员的观点,即在 GitHub 公共存储库上安全修复泄漏密钥的唯一方法就是密钥轮转。2.

    40900

    技术解读|软件敏感信息检测工具对比分析

    如图2.1,密钥被手动分类为八个类别,前三个类别分别是私钥、API密钥和认证密钥。...2.2.1 5个开源识别工具 git-secrets是由AWS-Labs开发的开源工具,旨在防止将敏感信息提交到Git存储库中。工具通过扫描整个Git历史,检测并输出存储库中的敏感信息。...Gitleaks是一个用Go编写的开源工具,主要用于检测Git存储库中的敏感信息。通过使用详细模式扫描存储库,以检索匹配敏感信息的元数据,最后将检测到的结果输出为JSON文件,便于后续分析。...ggshield由GitGuardian开发,是一个依赖GitGuardian公共API的开源工具。通过使用详细模式扫描每个存储库,并将检测到的敏感信息输出为JSON文件。...Rest API提取每个存储库的敏感信息,并输出为CSV文件。

    91110

    Harpoon:OSINT威胁情报工具

    起初,我试图创建一些Python脚本,来自动化的帮我完成一部分任务,但它很快就变得一团糟:脚本越来越多,有python 2中的也有python 3的,一些使用配置文件,还有一些在参数中获取API密钥…最终...它主要允许你为每个命令实现单个任务。我认为在调查期间,了解信息的来源以及信息的可靠性非常重要。 我重写了一些库(如SpyOnWeb),因为我想明确地知道它做了什么以及是如何做的。...所以我重复造轮子了很多次,并且我感到很满意。 Harpoon被组织成容易实现的子命令,这些命令依赖于内部或外部库。这些命令使用单个配置文件,当需要API密钥时需要我们手动完成。...或者,你可以在克隆存储库(pip install -r requirements.txt)后安装requirements.txt中的所有内容。...功能 在没有列出模块的情况下,我很难对这些功能进行描述,因为我几乎为我需要自动执行的每项任务都创建了一个新命令。

    1.3K30

    比特币与130多种山寨币的数字货币开源交易库CCXT(CryptoCurrency eXchange)

    当前功能列表: 支持许多交易市场,甚至即将推出的 为所有交易提供完整的公共和私人API 所有货币,山寨币和标记,价格,订单,交易,代码等......ccxt GitHub存储库将其克隆到项目目录中: git clone https://github.com/ccxt/ccxt.git 将此库安装到代码中的另一种方法是将单个文件手动复制到工作目录中,...任何人都可以在安装后立即使用公共部分即插即用。公共API可以从所有交易所市场开放访问公共信息,无需注册用户帐户,也无需拥有API密钥。...一些交易API公开了用于在代码本身内注册帐户的接口方法,但大多数交易不会。你必须在其网站上注册并创建API密钥。...私有API允许以下内容: 管理个人帐户信息 查询帐户余额 通过制造市场和限价订单进行交易 存入和取出法定和加密资金 查询个人订单 获得总账历史 在账户之间转移资金 使用商家服务 此库为所有交换实现完整的公共和私有

    2.7K10

    GitHound:一款针对GitHub的API密钥和敏感数据搜索工具

    值得一提的是,目前为止在GitHound的帮助下,我已经成功拿到了超过7500美元的漏洞奖金了。 功能介绍 1、GitHub/Gist代码搜索。...API密钥 通过了解特定服务的API密钥的模式,我们将能够使用GitHound来搜索GitHub中的这些公开用户API密钥。...然后,我们可以将自定义的密钥正则表达式整合进我们的脚本中,然后针对目标服务API密钥来标识有风险的账户。...; —dig-files - 克隆并搜索目标代码库中的文件以获取结果; —dig-commits - 克隆并搜索目标代码库中的提交历史以获取结果; —many-results - 使用结果排序和过滤搜索超过...GitHound使用常见的API密钥模式、上下文检索和香农熵过滤器来查找潜在的公开API密钥; —no-files - 不标记感兴趣的文件扩展名; —only-filtered - 仅搜索筛选查询(语言

    2K20

    DarkGPT:基于GPT-4-200k设计的人工智能OSINT助手

    接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地: git clone https://github.com/luijait/DarkGPT.git 然后切换到项目目录中,使用pip命令和项目提供的.../】,完成注册和登录; 2、订阅:DeHashed在使用之前需要选择一个服务方案,因此我们需要订阅其中一个服务方案并获取API; 3、访问API密钥:订阅完成之后,我们就可以在账号设置仪表盘中找到API...密钥了; 4、安全:请确保你的API密钥进行了安全存储,不要在公开代码库中明文存储你的API密钥; OpenAI API密钥 1、登录注册:访问【OpenAI官网:https://openai.com/...】,完成登录注册; 2、获取API密钥:打开OpenAI账号仪表盘的开发者设置,即可查看并获取到OpenAI API密钥; 3、安全:同样的,请确保你的API密钥进行了安全存储,不要在公开代码库中明文存储你的...打开命令行并输入下列命令,研究人员便可以针对目标数据库执行安全分析等OSINT操作: python3 main.py DarkGPT直观且友好的操作界面,意味着即便你是一个初学者,也可以在DarkGPT

    40910

    用 Chezmoi 取回你的点文件

    在 Linux 中,点文件是隐藏的文本文件,从 Bash、Git 到 i3 或 VSCode 等更复杂的许多应用程序,都用它存储配置设置。...安装问题 如果将点文件存储在 Git 存储库中,你肯定希望可以让更改轻松地自动应用到主目录之中,乍一看,最简单的方法是使用符号链接,例如 ln -s ~/.dotfies/bashrc ~/.bashrc...如果你在 Git 存储库中存储密码或 API 密钥之类的机密信息,则会比较麻烦,并且需要重写 Git 历史记录以删除该机密信息。...如果你的存储库是公开的,那么如果其他人下载了你的存储库,你的机密信息将不再保密。仅这个问题就会阻止许多人与公共世界共享其点文件。...我在 .ssh/config 中有一个文件,我想通过使用如下命令添加它: $ chezmoi add ~/.ssh/config Chezmoi 使用特殊的前缀来跟踪隐藏文件和私有文件,以解决 Git

    1K20

    OAUTH2 的微服务安全-spring cloud快速入门教程

    前言 公开由许多微服务组成的公共访问 API 时要考虑的最重要方面之一是安全性。Spring 有一些有趣的特性和框架,使我的微服务安全配置更容易。...理论 OAuth2 标准目前被所有允许您通过共享 API 访问其资源的主要网站使用。它是一种开放的授权标准,允许用户将存储在一个页面中的私有资源共享到另一个页面,而无需进入其凭据服务。...在下面可见的 Zuul 网关配置中,我将sensitiveHeaders属性设置为空值以启用授权HTTP 标头转发。...它基于默认的 Spring 安全配置。客户端授权详细信息存储在内存存储库中。当然在生产模式下,您希望使用其他实现而不是像本例一样将令牌存储这样的内存存储库。...我必须将它作为不记名令牌放入 Authorization 标头中。在示例应用程序中,安全操作的日志级别设置为 TRACE,因此您可以轻松地找出出现问题时发生的情况。

    64500

    Spring Cloud 配置application.yml与bootstrap.yml快速入门

    此配置存储理想地在Git版本控制下进行版本管理,并且可以在应用程序运行时进行修改。...作为配置存储的 Git 存储库 为了完成我们的服务器,我们必须在配置的 url 下初始化一个Git存储库,创建一些新的属性文件,并用一些值填充它们。...要安装,请按照下载中包含的说明进行操作。一些 Linux 发行版还通过其包管理器提供可安装的包。 由于配置服务器支持属性值的加密和解密,我们可以使用公共存储库作为敏感数据的存储,如用户名和密码。...后一个选项需要在我们的application.properties中配置一个密钥库。搜索此密钥库以查找匹配的密钥别名。...例如,这对于提供依赖于环境的日志记录配置很有用。 将配置服务器嵌入到应用程序中,它从Git存储库进行自我配置,而不是作为服务客户端的独立应用程序运行。

    74200

    人们需要担心的7种云计算攻击技术

    随着这些问题的不断出现,许多犯罪分子都采用经过实践检验的方法,例如强行使用凭据或访问存储在错误配置的S3存储桶中的数据。安全专家表示,企业的安全团队还有很多事情要跟上技术发展的步伐。...当网络攻击者获得其中一个访问密钥时,他们可以在受其控制的主机或平台上使用它,并执行API调用以进行恶意操作或特权升级。这些密钥通常是通过GitHub、BitBucket、共享图像、快照公开等方式泄露。...尤其是公开发布内容。”他建议,用户尽量减少使用其凭证,并在代码存储库和公司GitHub中进行扫描。因为一旦这些密钥对外泄露,网络攻击者只需几分钟就可以尝试对其基础设施进行攻击。...几乎任何人都可以得到一个S3存储桶,并随心所欲地使用。而与错误配置有关的网络攻击仍然会发生,因为企业经常无法保护其在公共云中的信息。 在这种情况下,敏感数据被放置在对象存储中,并且没有得到适当的保护。...访问控制可以设置为公共或匿名;存储桶策略或网络安全策略可能过于宽松;或将公共内容分发网络(CDN)设置为私有数据。网络攻击者扫描并发现一个打开的数据存储,然后提取他们想要的数据。

    2.9K30

    日产汽车北美数据泄露,系第三方供应商暴露

    该第三方供应商接收日产汽车客户数据,为其开发和测试软件解决方案,由于数据库配置不当造成数据泄露。...日产汽车收到泄露通知后展开了内部调查,2022年9月26日,它证实了一个未经授权的访问者触及了这些数据。 公告中写道,“经过调查,在软件测试期间嵌入在代码中的数据,无意中临时存储在云公共存储库。”...此外,所有收到违规通知的人都将获得一年的身份保护服务会员资格。 2021年1月,日产汽车北美公司经历了类似的事件,一台Git服务器在线暴露,并使用默认访问凭据,导致该公司的几个存储库公开。...2022年10月,丰田近30万客户的个人信息被泄露,因为一个包含该公司数据库访问密钥的GitHub存储库对公众开放了五年。...此外,安全媒体城,日产汽车和其他汽车制造商的移动应用程序和在线门户网站的API安全措施十分糟糕,可能导致账户接管和敏感信息暴露。

    51520

    无需 Dockerfile,打造你的专属即时容器镜像 : 自建 Nixery 私有服务器

    自建一个 Nixery 实例可以让你在本地或私有服务器上运行 Nixery 服务,从而避免公共服务的不稳定性。以下是一个基本的步骤指南,帮助你在本地或服务器上部署 Nixery。 1....:要使用的后端存储类型,目前支持的值为 gcs(谷歌云存储)和 filesystem。...在谷歌云存储中,通过将客户端重定向到存储桶来提供镜像。存储在文件系统中的镜像图层则直接从本地磁盘提供。...密钥的路径(GCS 可选) STORAGE_PATH:用于存储和提供数据的文件夹的路径(本地存储路径) 如果 GOOGLE_APPLICATION_CREDENTIALS 环境变量设置为服务账户密钥,...Nixery 将使用该密钥为存储桶中的图层创建签名 URL。

    83910

    GitHub遭黑客攻击:窃取数百源码并勒索比特币

    您的代码已下载并备份到我们的服务器上。” “如果我们在未来10天内未收到您的付款,我们会将您的代码公开或以其他方式使用。”...因此黑客很可能是针对安全性较差的存储库而不是特定的漏洞。 目前还不清楚是否存在有价值的东西在这次黑客活动中被盗。因为GitHub上的许多代码存储库都是公共的。而且有一些用户上传的项目代码“半生不熟”。...根据我们的调查结果,我们有充分证据表明受损帐户的帐户密码以明文形式存储在相关存储库的部署中。...“ GitLab建议为了防止密码被黑客盗取,可以启用双因素身份验证,为帐户SSH密钥;使用强密码,用密码管理工具存储密码,不要使用明文。...人们应该使用SSH,部署密钥或对每次拉取进行身份验,切勿将凭据存储在配置文件中。 ?

    1.5K30

    星巴克开发人员在GitHub Public Repo中暴露API密钥

    星巴克开发人员的一个失误暴露了一个API密钥,攻击者可以利用该API密钥访问内部系统并篡改授权用户列表。由于可以访问星巴克JumpCloud API的密钥,该漏洞的威胁性评级为“严重”。 ?...影响严重 漏洞猎人Vinoth Kumar在公共GitHub存储库中发现了密钥,负责任地通过HackerOne漏洞协调和漏洞赏金平台公开了该密钥。 ?...Kumar在10月21日指出,存储库已被删除,API密钥已被撤消,星巴克很快地就解决了该问题。 星巴克花了较长的时间做出响应,因为他们需要“确保我们面临问题的严重性,并已采取及时适当的补救措施”。...除了识别GitHub存储库并指定托管API密钥的文件之外,Kumar还提供了PoC代码,演示了攻击者可以如何使用该密钥。...支付赏金 星巴克对Kumar采取的补救措施十分满意,之后向他支付了4000美元的赏金,奖励其公开漏洞,这是严重漏洞奖励的最高数额。大多数来自星巴克的赏金一般在250美元至375美元之间。

    1.2K10

    QUIC协议初探-iOS实践

    首次,QUIC协议可以在1个RTT中启动一个连接并且获取完成握手所需的必要信息。...,同时生成一个全新的密钥,直接向服务器发送full Client hello消息,开始正式握手,消息中包括客户端选择的公开数。...客户端和服务器根据临时公开数和初始密钥,各自基于SHA-256算法推导出会话密钥。双方更换会话密钥通信,初始密钥已无用,至此,QUIC握手过程结束。...为了测试QUIC,以及对比QUIC和HTTP2的性能,我写了个初步的Demo 附件中有具体的代码,有兴趣可以看下,或者直接git clone http://git.code.oa.com/emilymmwang.../QuicTest.git 查看demo代码 Demo中使用Stellite库提供的API请求url,代码如下: - (void)requestUrl:(NSString*)url useQuic

    6.3K61

    【Jenkins系列】-凭证管理 - 看这一篇就够了~

    /doc/book/using/using-credentials/ Jenkins可以存储以下类型的credentials: Secret text - API token之类的token (如GitHub...Credential 安全 为了最大限度地提高安全性,在Jenins中配置的 credentials 以加密形式存储在Jenkins 主节点上(用Jenkins ID加密),并且 只能通过 credentials...ID 在Pipeline项目中获取 这最大限度地减少了向Jenkins用户公开credentials真实内容的可能性,并且阻止了将credentials复制到另一台Jenkins实例 Credential...中的credentials可以被使用: 适用于Jenkins的任何地方 (即全局 credentials), 通过特定的Pipeline项目/项目 (在 处理 credentials 和 使用Jenkinsfile...Blue Ocean 自动生成一个 SSH 公共/私有密钥对, 确保 SSH 公共/私有秘钥对在继续之前已经被注册到你的Git服务器 实际使用中,下面几个场景会用到creential gitlab 访问

    2.3K30
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券