git-wild-hunt 使用教程
项目介绍
git-wild-hunt
是一个用于在 GitHub 上搜索暴露凭证的工具。该工具通过使用正则表达式来检测和捕获各种类型的敏感信息,如 API 密钥、OAuth 令牌等。它可以帮助安全研究人员和开发者发现并修复潜在的安全漏洞。
项目快速启动
安装
首先,确保你的系统已经安装了 Python3 和 Virtualenv。然后按照以下步骤进行安装:
git clone https://github.com/josehelps/git-wild-hunt.git
cd git-wild-hunt
pip install virtualenv
virtualenv -p python3 venv
source venv/bin/activate
pip install -r requirements.txt
配置
在运行工具之前,你需要配置 GitHub 令牌。编辑 git-wild-hunt.conf
文件,添加你的 GitHub 访问令牌:
[github]
token = your_github_token_here
使用
使用以下命令来执行搜索:
python git-wild-hunt.py -s "your_search_query" -c git-wild-hunt.conf
搜索完成后,结果将保存在 results.json
文件中。你可以使用 jq
工具来查看结果:
cat results.json | jq
应用案例和最佳实践
应用案例
-
查找 AWS API 凭证:
python git-wild-hunt.py -s "AWS_ACCESS_KEY_ID" -c git-wild-hunt.conf
-
查找 GitHub 令牌:
python git-wild-hunt.py -s "github_token" -c git-wild-hunt.conf
最佳实践
- 定期扫描:定期使用
git-wild-hunt
扫描你的代码库,以确保没有敏感信息被意外提交。 - 自定义正则表达式:根据你的需求,编辑
regexes.json
文件,添加或修改正则表达式,以匹配特定的凭证类型。
典型生态项目
- TruffleHog:另一个流行的开源工具,用于检测和防止敏感信息泄露。
- GitLeaks:一个用于扫描 Git 仓库中敏感信息的工具,支持自定义规则和正则表达式。
通过结合使用这些工具,可以更全面地保护你的代码库免受敏感信息泄露的威胁。