深入分析一款简单的Github信息泄露爬虫

最新推荐文章于 2024-02-02 10:33:05 发布
VIP文章 最新推荐文章于 2024-02-02 10:33:05 发布
阅读量4.9k 收藏 4
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/op07p6Aaqo9u71/article/details/78295827
版权

大数据

作者:grt1stnull

0×01.前言

Github作为一个代码托管平台,有着海量的开源代码和许多开发者。在代码上传时,有些开发者缺乏安全意识,会在不经意间泄露自己的密码或者密钥。本文以这里为切入点,介绍一个检索代码信息的小爬虫以及在写爬虫时的一些奇技淫巧。

0×02.github信息泄露

正如前言所述,缺乏安全意识的开发者会造成这个问题。不止web路径下的.git目录会泄露信息,在托管的开源代码中也会产生信息泄露。例子很多,比如php连接数据库的配置文件泄露,那么可能数据库帐号密码都泄露了,任何人都可以访问这个数据库。再比如通向内网的帐号密码,管理员帐号密码乃至ssh密钥。

api,即应用程序编程接口。众所周知,http是无状态协议,为了将用户区分开引进了cookie机制。有许多厂商,提供了api这个接口供用户调取业务,为了区分用户引进了token,比如’https://example.com/get?info=xxx&token=xxx

而我比较喜欢做的事就是,在github上找api的密钥。因为相比与帐号密码,这个不但泄露的更多,而且也更难以注意察觉,并且我们调用方便。比如查询whois信息,子域名检测等等,很多安全厂商提供了api接口,所以如果你没有密钥,不妨试试这个github信息泄露的方法。

shodan可能很多安全从业者都知道,这是一个很强大的搜索引擎。下文我会以爬取github上的shodan api密钥为例子,写一个简单的小爬虫。

0×03.github搜索结果爬取

1.shodan api格式

首先访问https://developer.shodan.io/api,这是shodan的api文档,我们可以看到api请求格式为https://api.shodan.io/shodan/host/{ip}?key={YOUR_API_KEY}。之后我们就可以在github上搜索” https://api.shodan.io/shodan/host/ key=”来看看。

结果如图:

大数据

可以看到已经有人不小心泄露自己的密钥了,虽然还有很多人没有。

2.github信息收集

虽然github有提供api,但是对代码检索功能有限制,所以我们这里不使用api。

首先进行搜索我们需要有一个登录状态,大家可以注册一个小号,或者是使用大号,这个没关系的。

登录状态我们可以使用cookies,也可以直接登录,我们这里说直接登录。

首先F12抓包可以看到整个登录流程,即访问github.com/login,之后将表单的值传递给github.com/session。整个流程非常清晰。

代码如下:

import requests

headers = {

'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0',

'Referer': 'https://github.com/',

'Host': 'github.com',

'Upgrade-Insecure-Requests': '1',

}

payload = {'commit': 'Sign in', 'login': '[email protected]',  'password': 'xxxxxx'}

r = requests.get("https://github.com/login", headers=headers)

_cookies = r.cookies

r = requests.post("https://github.com/session", headers=headers, data=payload,  cookies=_cookies)

如上可不可以呢?仔细分析整个流程,实际上,表单值中还有一个authenticity_token,我们要先抓取到这个值,然后传递给表单。

抓取函数如下:

from lxml import etree

def get_token(text):

#<input name="authenticity_token" value="Wwc+VXo2iplcjaTzDJwyigClTyZ9FF6felko/X3330UefrKyBT1f/eny1q1qSmEgFfTm0jKv+HW7rQ5hYu84Qw==" type="hidden">

    html = etree.HTML(text)

    t = html.xpath("//input[@name='authenticity_token']")

    try:

        token = t[0].get('value')

    except IndexError:
最低0.47元/天 解锁文章
36大数据
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一个基于Python的GitHub代码库爬虫.zip
01-19
爬虫(Web Crawler)是一种自动化程序,用于从互联网上收集信息。其主要功能是访问网页、提取数据并存储,以便后续分析或展示。爬虫通常由搜索引擎、数据挖掘工具、监测系统等应用于网络数据抓取的场景。 爬虫的工作流程包括以下几个关键步骤: URL收集: 爬虫从一个或多个初始URL开始,递归或迭代地发现新的URL,构建一个URL队列。这些URL可以通过链接分析、站点地图、搜索引擎等方式获取。 请求网页: 爬虫使用HTTP或其他协议向目标URL发起请求,获取网页的HTML内容。这通常通过HTTP请求库实现,如Python中的Requests库。 解析内容: 爬虫对获取的HTML进行解析,提取有用的信息。常用的解析工具有正则表达式、XPath、Beautiful Soup等。这些工具帮助爬虫定位和提取目标数据,如文本、图片、链接等。 数据存储: 爬虫将提取的数据存储到数据库、文件或其他存储介质中,以备后续分析或展示。常用的存储形式包括关系型数据库、NoSQL数据库、JSON文件等。 遵守规则: 为避免对网站造成过大负担或触发反爬虫机制,爬虫需要遵守网站的robots.txt协议,限制访问频率和深度,并模拟人类访问行为,如设置User-Agent。 反爬虫应对: 由于爬虫的存在,一些网站采取了反爬虫措施,如验证码、IP封锁等。爬虫工程师需要设计相应的策略来应对这些挑战。 爬虫在各个领域都有广泛的应用,包括搜索引擎索引、数据挖掘、价格监测、新闻聚合等。然而,使用爬虫需要遵守法律和伦理规范,尊重网站的使用政策,并确保对被访问网站的服务器负责。
githubcrawler:一个 github 仓库爬虫
07-09
github爬虫 我打算构建一个可以批量下载存储库的github repos爬虫。 欢迎任何反馈。 谢谢。
Web应用安全—信息泄露
Python栈
02-02 311
漏洞描述:搜索引擎可以通过robots文件可以获知哪些页面可以爬取,哪些页面不可以爬取。Robots协议是网站国际互联网界通行的道德规范,其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯,如果robots.txt文件编辑的太过详细,反而会泄露网站的敏感目录或者文件,比如网站后台路径,从而得知其使用的系统类型,从而有针对性地进行利用。测试方法:1、检测形式多样,工具爬虫扫描得到敏感文件的路径,从而找到robots文件;**2、手工挖掘,直接在域名后输入/robots.txt进行查看。**
GitHub 微信公众号爬虫推荐
01-06
GitHub 微信公众号爬虫推荐 本文推荐 GitHub 微信公众号爬虫article_spider 。 微信公众号爬虫有别于一般的网页爬虫,由于是一个相对封闭的内容平台,入口比较少,所以难度就有点大了。大概查找了一下,发觉基本上不能自动化的,无论是用 Selenium ,抓包工具(Fiddler);还是从搜狗微信搜索,”管理”-“素材管理”中的“公众号查找”,都只能是实现半自动化。而且有很多文章介绍的方法或是从 GitHub 上找到的大多源码都不能用了。 最近也有保存微信公众号历史文章的需求,想着由于时间关系以及难度关系就不重复造轮子了。幸运的是从 GitHub 上找到了一个可用的源码仓库a
基于机器学习的GitHub敏感信息泄露监控
datayx的文章
12-01 1231
向AI转型的程序员都关注了这个号????????????机器学习AI算法工程 公众号:datayx现在很多公司都会面临,内部敏感信息,比如代码,内部系统服务器地址,账号,密码等等泄露GitHub上的风...
网络信息安全之GitHub敏感信息泄露监控-徐庆臣(黑客洗白者)
清晨码农的专栏
09-05 351
结合管理和技术手段杜绝GitHub敏感信息泄露问题,做到近实时监控预警。分享开发GitHub敏感信息监控过程中的特征采集、最佳告警响应方式、误报规则类型、漏报处理思路以及整体GitHub敏感信息泄露的现状等等一些经验。
GitMAD:在Github上监视,警报和发现敏感信息和数据泄漏
02-03
GitMAD(Git监视器,警报,发现) GitMAD是一个全栈应用程序,可以监视Github中给定的关键字或域。 GitMAD在Github上托管的代码中搜索匹配的关键字。 找到匹配项后,GitMAD将克隆存储库并在文件中搜索一系列可配置的正则表达式。 然后,GitMAD获取这些结果,并将其插入数据库中以供以后查看。 这些结果也可以作为电子邮件警报发送。 GitMAD持续运行以发现与输入关键字匹配的新存储库。 输入值 GitMAD在Github上搜索关键字或域名。 用户还可以配置每次搜索的最大结果量,两次搜索之间的时间量以及要克隆的存储库的最大大小。 有两种模式,监视和发现。 发现模式将退出,并在每次运行时搜索新结果。 监视模式将首先下载给定关键字/域的所有匹配项,进行搜索,然后继续搜索新结果。 处理中 GitMAD从上方获取结果并搜索存储库的Git历史记录。 在历史记录中搜索一组可配置的正则表达式。 GitMAD还可以分解历史记录文件的每一行,并在Shannon熵中搜索匹配项。 有两个可配置文件: regex_matches.py 这是放置关键字和正则表达式以在存储库的内容中进
Fiddler收费没得用?这款抓包神器 Github star 过万,一个字:香
测试开发的成长点滴
11-21 1606
whistle(读音[ˈwɪsəl],拼音[wēisǒu]),是基于Node实现的跨平台web调试代理工具。主要用于查看、修改HTTP、HTTPS、Websocket的请求、响应,也可以作为HTTP代理服务器使用。不同于Fiddler通过断点修改请求响应的方式,whistle采用的是类似配置系统hosts的方式,一切操作都可以通过配置实现,支持域名、路径、正则表达式、通配符、通配路径等多种匹配方式。目前我主要使用它来抓包手机APP,可以查看接口请求,以及做一些接口响应的替换等。
104个实用网络爬虫项目资源整理(超全)
热门推荐
04-16 1万+
爬虫是一种可以爬取指定网站页面的指定信息的应用程序,通过爬虫,我们可以获取网站中我们需要的数据。通过一个 URI 地址,模拟类似浏览器的行为获取这个 URI 地址对应的 HTML 页面,部分爬虫甚至还可以支持 JavaScript 的执行。获取之后通过页面解析,从页面中的指定的 HTML 标签下提取得到我们需要的数据。对数据进行处理之后存入指定的存储,比如文件系统,MySQL 等关系型数据库,Redis,MongoDB 等 NoSQL 数据库中。
敏感信息泄露搜索之GitHub
qq_60115503的博客
05-12 2206
众所周知,当今是大数据时代,大规模数据泄露事情一直在发生,从未停止过,但有些人不知道的是很多时候一些敏感信息泄露其实是我们自己无意中造成的,然而一个小疏忽,往往却造成一系列连锁反应…… Github上敏感信息泄露,就是一个典型的例子,Github虽然方便开发者,但其中也埋藏着一些安全隐患。
pythoninformation leakage_GitHub - AlexAUM/GSIL: Github Sensitive Information Leakage(Github敏感信息泄露)...
weixin_39943370的博客
12-21 137
GSIL(GitHub Sensitive Information Leak)Monitor Github sensitive information leaks in near real time and send alert notifications.近实时监控Github敏感信息泄露,并发送告警通知。Installation(安装)仅在Python3下验证过git clone https:...
https访问github.com的Wireshark抓包文件
06-04
https访问github.com的wireshark抓包,《HTTPs握手流程抓包解析》中结合该抓包详细分析典型的 TLS 握手流程。
GitHub信息收集爬虫.zip
01-20
爬虫(Web Crawler)是一种自动化程序,用于从互联网上收集信息。其主要功能是访问网页、提取数据并存储,以便后续分析或展示。爬虫通常由搜索引擎、数据挖掘工具、监测系统等应用于网络数据抓取的场景。 爬虫的...
Github 仓库及用户分析爬虫.zip
最新发布
03-01
爬虫(Web Crawler)是一种自动化程序,用于从互联网上收集信息。其主要功能是访问网页、提取数据并存储,以便后续分析或展示。爬虫通常由搜索引擎、数据挖掘工具、监测系统等应用于网络数据抓取的场景。 爬虫的...
一个简单的智能网络信息爬虫.zip
01-19
爬虫(Web Crawler)是一种自动化程序,用于从互联网上收集信息。其主要功能是访问网页、提取数据并存储,以便后续分析或展示。爬虫通常由搜索引擎、数据挖掘工具、监测系统等应用于网络数据抓取的场景。 爬虫的...
大数据之杭州租房信息爬虫数据清洗数据分析
07-07
包括了爬虫项目(爬北上广深热门城市的租房信息)和数据清洗和数据分析,值得下载。其中数据分析会产生许多图片,适合小白同学初步入门大数据。
爬虫_python_一款抓取学校官网所有校园招聘信息的程序
05-13
自编代码,抓取学校官网所有校园招聘信息,并保存为html格式,图片也会镶嵌在html中。
挖饭,一款分析饭否日记的 Python 爬虫工具。.zip
02-03
为此,我们汇集了一系列Python爬虫工具,旨在帮助您更高效地获取、处理和分析网络数据。 内容概览 这个压缩包集合包括了从单一用途到多功能的各种Python爬虫工具。无论您是需要快速抓取特定网站的数据,还是希望...
Python爬虫使用脚本登录Github并查看信息
09-20
主要介绍了Python爬虫之用脚本登录Github并查看信息,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
github关键词爬虫
08-08
你好!对于关键词爬虫,你可以使用GitHub的API进行爬取。以下是一个使用Python编写的示例代码,使用PyGitHub库来访问GitHub API: ```python from github import Github def search_repositories(keyword): # 使用你的GitHub用户名和密码/令牌进行身份验证 g = Github("YOUR_USERNAME", "YOUR_PASSWORD_OR_TOKEN") # 搜索关键词相关的仓库 repos = g.search_repositories(query=keyword) # 打印搜索结果 for repo in repos: print(repo.full_name) # 搜索关键词为 "爬虫" search_repositories("爬虫") ``` 请注意,为了使用GitHub API,你需要在[此处](https://github.com/settings/tokens)创建一个个人访问令牌,并将其替换为代码中的"YOUR_USERNAME"和"YOUR_PASSWORD_OR_TOKEN"。 此代码将打印与关键词"爬虫"相关的GitHub仓库的全名。你可以根据自己的需求对代码进行修改和定制。 希望能帮到你!如有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值