[yinna/AutoTestPlantform] Django Secret Key exposed on GitHub

最新推荐文章于 2022-12-09 10:44:45 发布
最新推荐文章于 2022-12-09 10:44:45 发布
阅读量666 收藏 1
点赞数
文章标签: git github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dream_na/article/details/112768107
版权

现在网络安全,每个公司都挺重视的,所以当我收到这封邮件时,理所当然的吓一跳,赶紧网上查询相关信息
在这里插入图片描述
GitGuardian 是GitHub 敏感信息泄露自动提示平台,也是首个实时,自动扫描开源项目代码的平台。当发布敏感资料到 Github 开源项目时,它就会自动提醒我们,比如说发送电子邮件。

主要原因就是:代码中上传了某些密码
而我们大部分用户都是一个密码可能串通好几个平台,所以很有可能被攻击、挖矿等

于是赶紧把账号密码去掉,可是提交记录的过程大家还是能看到之前上传的密码

于是乎,我在想有没有可以删除所有提交历史记录,但将代码保持在当前状态的方法
可以按照以下方式安全地执行此操作:

尝试  运行  git checkout --orphan latest_branch
添加所有文件git add -A
提交更改git commit -am "commit message"
删除分支git branch -D master
将当前分支重命名git branch -m master
最后,强制更新存储库。git push -f origin master

当然,如果有客户端工具的话,操作起来会更简便点。

jane单的小确幸
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python - Django 框架 - 设置SECRET_KEY
学无止境
07-13 3168
请确保将’your-secret-key’替换为自己的实际密钥。这种方法简单直接,但在版本控制系统中共享代码时存在风险,因为密钥可以被他人看到。
实现Git提交后自动邮件通知的功能配置
09-08 6074
一、安装配置MSMTP1 安装msmtpwget https://sourceforge.net/projects/msmtp/files/msmtp/1.6.5/msmtp-1.6.5.tar.xztar xvf msmtp-1.6.5.tar.xzcd msmtp-1.6.5./configure –prefix=/usr/local/msmtpmakemake install2 配置msmtp
DjangoSecret Key泄漏导致的命令执行实践
3569
02-19 4242
http://www.polaris-lab.com/index.php/archives/426/0x01 Secret Key的用途和泄漏导致的攻击面Secret Key主要用于加密、签名,下面是官方文档的说明:The secret key is used for:All sessions if you are using any other session backend thandjang...
git在阿里云上安装以及出错
a6821122的专栏
02-22 378
centos安装git的时候出现下面的错误提示: usr/bin/perl Makefile.PL PREFIX=’/usr/local/git’ ‘’ --localedir=’/usr/local/git/share/locale’ Can’t locate ExtUtils/MakeMaker.pm in @INC (@INC contains: /usr/local/lib64/perl5...
gg-shield:检测源代码中的秘密,扫描您的存储库以查找泄漏。 使用GitGuardian查找机密并防止凭据泄漏。 GitGuardian是自动机密检测和修复服务
02-04
:使用GitGuardian保护您的秘密 GitGuardian防护(gg-shield)是一个CLI应用程序,可在您的本地环境或CI环境中运行,以帮助您检测200多种类型的机密以及其他潜在的安全漏洞或策略中断。 GitGuardian防护罩通过使用我们的来扫描文件并检测代码中的潜在机密。 的/v1/scan端点是无状态的。 我们不会存储您正在发送的任何文件或我们检测到的任何秘密。 您还可以通过存储库上的框架使用gg-shield,或者作为全局或本地独立的pre-commit。 您需要的API密钥才能使用gg-shield。 将API密钥添加到您的环境变量中: GITGUARDIA
RSA私钥和公钥文件格式 (pkcs#7, pkcs#8, pkcs#12, pem)
热门推荐
tuhuolong的专栏
01-16 3万+
RSA Public Key file (PKCS#1) The RSA Public key PEM file is specific for RSA keys. It starts and ends with the tags: -----BEGIN RSA PUBLIC KEY----- BASE64 ENCODED DATA -----END RSA PUBLIC KEY
Django设置SECRET_KEY
Pert的博客
11-02 3463
在我们做完django项目后,向生产环境部署时,为了避免一些敏感信息被有心人利用,我们应该将其保护起来,比如说在settings配置中的一些密码等内容存在操作系统内,通过调用来使用,比如下面这种做法: 拿Django中的SECRET_KEY来说吧,其余如同数据库密码、邮箱密码等秘密内容都可以使用这种方式将其贮存在操作系统中。我使用的是python语言,这里要使用到python的os内置模块: os模块**:官方定义:This module provides a portable way of using.
GitHub上公开秘密:泄露凭证和API密钥后该怎么办
编程故事的地方
03-27 2094
作为开发人员,如果发现刚刚将敏感文件或机密公开给公共git存储库,则需要执行一些非常重要的步骤。 什么是秘密? 在本文档中,当我们使用“机密”一词时,我们指的是用于身份验证或授权的任何内容,最常见的是API密钥,数据库凭据或安全证书。 第一步,呼吸:在大多数情况下,如果您认真遵循本指南,则只需几分钟即可消除大部分潜在损害。 这篇文章将介绍消除风险并确保将来不会发生这种风险所需的四个步骤。 ...
IDEA突然有一天不能使用阿里云的镜像仓库,报证书错误的解决方法。
qq_40450926的博客
07-04 1932
第一步: 虚拟参数为:-Dmaven.wagon.http.ssl.allowall=true -Dmaven.wagon.http.ssl.ignore.validity.dates=true 第二步: 虚拟参数同上
Djangosecret_key添加到环境变量
最新发布
RayMand168的博客
12-09 709
通常有一个单独的 settings.py 文件用于生产环境,并从单独的文件或环境变量,导入敏感设置。即使其他源代码在公共存储库中可用,也应保护此文件。
git-guardian:GitHub + Guardian新闻= GitGuardian
05-01
cmtech-assignment-1 GitHub API + Guardian API = GitGuardian 登录GitHub,查看您错过了《卫报》的最新消息! 目录 安装 使用以下命令在本地提供服务。 # $ npm i -g firebase-tools # Install firebase-tools if you haven't already $ firebase serve # Start development server CodeKit 3还用于在本地提供服务。 用法 从Firebase可以使用带有oAuth的GitHub登录 使用GitHub API解析的已登录用户的最新推送提交和时间戳被输入到Guardian API中 Guardian API解析时间戳并显示标题与推式提交最紧密匹配的时间戳 终点 的GitHub GitHub提交 监护人监护人文
django报错之SECRET_KEY . The SECRET_KEY setting must not be empty.
weixin_43178103的博客
05-08 4684
Django启动报错SECRET_KEY不能为空 在django文件的setting.py中导入某个包的时候,报错如图示, 明明是有秘钥,却报为空那是因为程序从上执行到下,在使用dwebsocket模块的时候,django框架的秘钥是还没有被导入进去,也就是还没有执行到这一步,所以使用模块会报错,现在我将dwebsocket移动到SECRET_KEY下面导入的时候一切正常。 查阅了一些关于dj...
保护好自己的开源项目敏感信息(以Django框架为例)
FlyChestnut的博客
09-13 998
前言: 如果你要在GithubGitee等网站开源自己的项目,请注意保管好隐私。当你开源了这些项目之后,就意味着每一个人都可以看你的源码。而很多情况下,你的源码里很可能包含一些很重要的信息,比如数据库的密码,或邮箱的账号或密码等。一旦你泄露了这些信息,轻则个人隐私泄露,重则服务器被黑,数据库数据泄露,甚至你的其他账号密码(你的各类账号的密码会不会相同或者相似?)全部泄露等。 我是用Python的Django框架做后端的,所以我就只讲Django了,其他语言或框架的也可以参考一下。 Django的setti
第六篇horizon— Web管理界面
weixin_43466725的博客
02-20 2万+
第六篇horizon— Web管理界面 一、horizon 介绍: 理解 horizon Horizon 为 Openstack 提供一个 WEB 前端的管理界面 (UI 服务 )通过 Horizone 所提供的 DashBoard 服务 , 管理员可以使用通过 WEB UI 对 Openstack 整体云环境进行管理 , 并可直观看到各种操作结果与运行状态。 DashBoard 与其他组件的关系...
djangoSECRET_KEY到代码执行
weixin_34006468的博客
03-08 2598
xxlegend · 2015/09/08 18:290x00 背景最近审查代码发现某些产品在登录的JS代码中泄露了SECRET_KEY,将该值作为密码加密的盐,这样就暴露了加密salt不太好吧,更重要的是对django的安全造成了极大的威胁。0x01 SECRET_KEY作用SECTET_KEY在djanog中使用非常广泛,基本上涉及到安全,加密等的地方都用到了,下面列举一些常见情景:1,jso...
开发人员哪些错误不能犯_开发人员:不要在您的应用程序中犯这些十大安全错误
weixin_26722031的博客
07-31 1351
开发人员哪些错误不能犯As a developer, you’re the first line of defense against data breaches. You should know what to look out for, and you have a responsibility to your users to follow best practices. 作为开发人员,您是...
git使用遇到报错问题及解决办法
半梅芒果干的博客
04-19 857
access denied.Make sure you have access to do that action on that remote and try again 原因: 因为重置密码导致push失败 解决办法: 输入一行命令:git config --system --unset credential.helper 原因: 远程分支代码冲突 解决: 首先先切到其他分支 然后删除到冲突的远程分支,重新新建远程分支,over! gc 其他分支 gb -D 冲突分支 gc 冲突分支 gb // 查看.
django setting.py中的SECRET_KEY
西京刀客
09-19 2409
当您使用 创建一个新的 Django 项目startproject时,该 settings.py文件会自动生成并获取一个随机 SECRET_KEY值。该值是保护签名数据的关键——确保其安全至关重要,否则攻击者可以使用它来生成自己的签名值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值