【漏洞挖掘】——58、GitHub信息泄露

已于 2024-06-07 16:05:40 修改
阅读量743 收藏 1
点赞数 1
分类专栏: 【WEB渗透】 文章标签: Web渗透测试 渗透测试 信息泄露 网络安全 信息安全
于 2023-10-20 17:53:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/133951554
版权
【WEB渗透】 专栏收录该内容
140 篇文章 9 订阅 ¥29.90 ¥99.00
订阅专栏
漏洞简介

GitHub是一个非常流行的代码托管和版本控制平台,许多组织和开发者使用它来托管和分享代码,如果GitHub的安全措施不当或用户不小心可能会导致GitHub信息泄露的问题,以下是一些可能导致GitHub信息泄露的原因

  • 访问控制:如果用户错误地设置了GitHub仓库的访问控制,可能会导致未授权的用户或机器人访问敏感信息
  • 恶意攻击:黑客可以使用各种手段,例如钓鱼攻击和社交工程攻击,来获得GitHub用户的凭据并访问其仓库
  • 公共仓库:如果用户将代码存储在公共的GitHub仓库中,则其他人可以查看和下载该代码,包括敏感信息,例如密码、API密钥和凭据等
  • 代码提交:如果用户不小心将敏感信息提交到GitHub仓库中,其他人就可以查看敏感信息的历史记录,即使用户后来将敏感信息从仓库中删除
漏洞利用
邮箱信息

smtp @qq.com
mtp @126.com
smtp @163.com
smtp @sina.com.cn
smtp @sina.com.cn password

例如:https://github.com/search?q=smtp+user+@qq.com&type=code

数据连接

了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Gitleaks - 一款高效的Github仓库敏感信息泄露查询工具
大河之犬的博客
12-08 1263
Gitleaks 是一种 SAST 工具,用于检测和防止 git 存储库中的硬编码机密,如密码、API 密钥和令牌Gitleaks 是一个开源工具,用于检测和防止签入 Git 存储库的机密(密码/API 密钥)。Gitleaks 的主要优点是它不仅可以扫描您最新的源代码,还可以扫描整个 git 历史记录,识别过去提交到您的源代码的任何秘密Github地址。
github-dorks:通过github搜索找到泄露的秘密
02-03
Github Dorks 是一个非常强大且有用的功能,可用于在存储库中搜索敏感数据。 Github服务对象的集合可以揭示敏感的个人和/或组织信息,例如私钥,凭据,身份验证令牌等。此列表应该用于评估系统的安全性和进行笔测试。 GitHub Dork搜索工具 是一个简单的python工具,可以搜索您的存储库或组织/用户存储库。 目前,它并不是一个完美的工具,但提供了基本功能,可以根据文本文件中指定的代码自动在存储库中进行搜索。 安装 该工具使用与GitHub Search API进行通信。 克隆此存储库并运行: pip install -r requirements.txt 用法 GH_USER - Environment variable to specify Github user GH_PWD - Environment variable to specify password GH_TOKEN - Environment variable to specify Github token GH_URL - Environment variable to specify
GitHub 源代码被泄露了...
静觅
11-08 968
“ 阅读本文大概需要 4 分钟。 ” 来自量子位GitHub 忽然 “开源” 了自己代码的一部分,还将它放在了 GitHub 上。事件起因是这样的:TypeScript 的开发者 Res...
GitHub:我开源我自己;CEO:不存在的
weixin_36896856的博客
11-07 237
点击上方“AI遇见机器学习”,选择“星标”公众号重磅干货,第一时间送达萧箫 发自 凹非寺 量子位 报道 | 公众号 QbitAIGitHub忽然“开源”了自己代码的一部分,还将它放在了G...
网络信息安全GitHub敏感信息泄露监控-徐庆臣(黑客洗白者)
最新发布
清晨码农的专栏
09-05 446
结合管理和技术手段杜绝GitHub敏感信息泄露问题,做到近实时监控预警。分享开发GitHub敏感信息监控过程中的特征采集、最佳告警响应方式、误报规则类型、漏报处理思路以及整体GitHub敏感信息泄露的现状等等一些经验。
敏感信息泄露搜索之GitHub
qq_60115503的博客
05-12 2399
众所周知,当今是大数据时代,大规模数据泄露事情一直在发生,从未停止过,但有些人不知道的是很多时候一些敏感信息泄露其实是我们自己无意中造成的,然而一个小疏忽,往往却造成一系列连锁反应…… Github上敏感信息泄露,就是一个典型的例子,Github虽然方便开发者,但其中也埋藏着一些安全隐患。
国内SRC漏洞挖掘经验和技巧分享.pdf
09-10
2. 点到为止:SRC个人推荐中,点到为止也是非常重要的,包括在挖掘漏洞时,不要超过必要的范围,避免造成不必要的损害。 3. 漏洞保密:SRC个人推荐中,漏洞保密也是非常重要的,包括在发现漏洞后,需要保密,不要...
信息安全_github泄露监控实践.pptx
08-14
信息安全_github泄露监控实践】 在当今数字化时代,信息安全已经成为企业和个人关注的焦点。随着开源社区的繁荣,尤其是像GitHub这样的平台,它为开发者提供了一个共享和协作的平台,但同时也可能成为信息泄露的...
好代码是管出来的——使用GitHub实现简单的CI/CD
02-25
软件开发一般来说是一项团队作业,在本系列文章开始就提到过软件的编码是由一个团队“并行”完成的,为了保证编码任务正常完成,首先引入版本控制工具来完成代码管理,为了保证代码质量引入了代码分析器以及代码测试...
Github-Monitor:Github敏感信息泄漏监控器(Github信息泄漏监控系统)
02-06
VIPKID GITHUB显示器 GITHUB MONITOR是vipkid安全研发团队打造的用于监控Github代码仓库的系统。通过该系统可以及时发现企业内部代码位置,从而降低由代码导致的一系列安全风险。用户仅需通过简单的任务配置,即可...
Python-近实时监控Github敏感信息泄露并发送告警通知
08-10
Github Sensitive Information Leakage(Github敏感信息泄露
Github文件泄露搜索语法
信安路上……
03-04 2388
邮件信息: site:Github.com smtp site:Github.com smtp @qq.com site:Github.com smtp @126.com site:Github.com smtp @163.com site:Github.com smtp @sina.com.cn site:Github.com smtp password site:Github.com Stri...
多名微软员工在GitHub 上不慎泄露公司的内部登录凭据
smellycat000的专栏
08-19 301
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全公司spiderSilk发现,疑似多名微软员工将公司的基础设施的敏感登录凭据暴露在 GitHub 上,可能导致攻击者攻陷微软内部系统。微软证实了这起数据泄露事件。SpiderSilk公司的研究指出,“我们仍看到偶发的源代码和凭据泄露是企业攻击面的一部分,及时准确地识别它们变得越来越难。这对于当前多数企业而言是一个非常具有挑战性的问题。”该...
您的连接不是私密连接 攻击者可能会试图从 github.com 窃取您的信息(例如:密码、通讯内容或信用卡信息)。了解详情
sjxpf922的博客
06-05 3869
进入C:\Windows\System32\drivers\etc\ 文件夹,找到hosts文件,右键编辑 hosts,粘贴“192.30.255.112 github.com” 保存即可
您的连接不是私密连接,攻击者可能会试图从 github.com 窃取您的信息
weixin_45993094的博客
06-19 5781
关于解决“您的连接不是私密连接,攻击者可能会试图从 github.com 窃取您的信息”问题
您的连接不是私密连接 攻击者可能会试图从 github.com 窃取您的信息(例如:密码、通讯内容或信用卡信息)。了解详情 NET::ERR_CERT_COMMON_NAME_INVALID
丿灬安之若死
09-13 9254
是因为开启了Fidder 抓包 关闭就可以访问git了
你的连接不是专用连接 攻击者可能试图从 github.com 窃取你的信息 通过修改DNS连接解决无法连接问题
天天的博客
10-24 8285
目前世界上的大中型网站都是采用CDN做内容分发的,从而可以确保用户就近的接入、提升访问速度,不少的网站会使用DNS作为识别,因此如果本人在北京,却选择了上海的DNS,就有可能会被网站认为是上海的用户而引导到上海的服务器上去。目前国内有不少的免费、安全而且无毒的DNS,常见的如百度提供的180.76.76.76、阿里提供的223.5.5.5和223.6.6.6、前文提到的114.114.114.114。3.在连接的wlan中点击wifi名称进去。5.在ipv4设置,点击最右边的属性。1.右键wifi图标。
github工具_自己动手打造Github代码泄露监控工具
weixin_39703468的博客
11-29 322
作者:ztencmcp来源:https://www.freebuf.com/articles/web/173479.html0×00 背景众说周知,Github这块肥肉很受安全人员和黑客关注。因为很多新进程序猿和老手不经意就会把他们的劳动成果分享出来,而往往这种开源精神,奉献精神会对企业带来一定的安全风险。例如代码里面包含各种敏感信息(用户名、密码、数据库信息、内网IP,甚至程序猿的身高、体重、年...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值