如何使用GitBleed从Git库镜像中提取数据

最新推荐文章于 2024-04-26 13:28:04 发布
最新推荐文章于 2024-04-26 13:28:04 发布
阅读量394 收藏
点赞数
文章标签: git github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2207/article/details/129303079
版权

关于GitBleed

GitBleed是一款针对Git库镜像的安全检测工具,该工具包含了多个Shell脚本,可以帮助广大研究人员下载克隆的Git库和Git库镜像,然后从中提取各种数据,并分析两者之间的不同之处。

功能介绍

工具提供的脚本能够克隆指定Git库的副本,即常规克隆(git
clone)或使用“–mirror”选项来使用Git库镜像。接下来,该工具将会对两者进行分析,并尝试寻找只有镜像模式中才存在的代码库部分。最后,工具还会尝试提取出的数据中是否存在敏感信息或密码凭证等等。任务执行完成之后,工具将会输出分析结果。

请注意,工具脚本的运行过程中将会创建三份代码库副本,并且会消耗掉一定的磁盘空间。

测试代码库

下面给出的是两个可供广大研究人员测试使用的代码库样例:


gb_testrepo_delete:通过删除的commit隐藏敏感信息


gb_testrepo_reset:通过“git
reset”隐藏敏感信息

工具要求

在使用该工具之前,我们首先要确保本地设备上安装并配置好 Git Python
3
GitLeaks和[ git -filter-
repo](https://github.com/newren/git-filter-
repo)。我们可以在macOS上使用下列命令完成这些工具组件的安装:

brew install git python3 gitleaks git-filter-repo

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地,并运行样例项目:

git clone https://github.com/nightwatchcybersecurity/gitbleed_tools.git

cd gitbleed_tools

./gitbleed.sh https://github.com/nightwatchcybersecurity/gitbleed_tools.git example

工具还提供了一些帮助脚本,我们可以通过下列方式用它们来扫描GitHub和GitLab代码库:

./gitbleed_gh.sh nightwatchcybersecurity/gitbleed_tools

./gitbleed_gl.sh nwcs/junit_ui_bug

上述命令将会创建一个包含下列三个子目录的样例文件夹:

clone:包含克隆的代码库;

delta:包含代码库镜像,并去除了“clone”中所有的commit;

mirror:包含使用“–mirror”选项执行后得到的代码库镜像;

同时,工具还会创建下列三个文件:

clone_hashes.done.txt:已克隆代码库的哈希列表;

gitleaks.json:正在运行的GitLeaks返回的结果;

gitlog.txt:“delta”目录中所有的commit,整合进了这个单独的文件;

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

Jinmindong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
git泄露查询
10-31
github的泄露信息进行检索查询,可以用于信息收集,资产探测。
git-php:在PHP使用Git
02-04
GitPHP 用于在PHP使用Git存储。 你喜欢这个项目吗? 请考虑其对进一步发展的支持。 谢谢! 安装 或使用 : composer require czproject/git-php 需要PHP 5.4或更高版本以及git客户端(Git的路径必须在系统变量PATH )。 Git安装程序: 对于Linux- 对于Windows- 对于其他人 用法 <?php // create repo object $ repo = new Cz \ Git \ GitRepository ( '/path/to/repo' ); // create a new file in
WINDOWS下使用gitleaks扫描代码的敏感信息
最新发布
SA
04-26 367
如何使用gitleaks
async-git:from从当前的git检索数据
05-01
异步git :alien_monster: 从当前的git检索数据 * Getter属性是异步的(getter), const git = require ( 'async-git' ) ; ` ${ await git . author } committed ${ await git . message } ` // Omri committed Some changes 吸气剂 财产 类型 描述 例子 author 细绳 上次提交的作者姓名 await git.author body 细绳 最新提交消息正文 await git.body branch 细绳 当前分支名称 await git.branch changed 细绳[] 上次提交更改的文件列表 await git.changed comitter 细绳 最后提交的提交者名称 await git.comitter dat
git-extract:从 Git 存储提取文件或文件夹
06-17
Git 存储提取文件或文件夹。 例子 $ extract server.js creaturephil/alpha $ ls server.js 安装 $ npm install -g git-extract 用法 Usage: extract [file | folder] [repositories] Commands: * extract files or folders from a Git repository Options: -h, --help output usage information -V, --version output the version number 执照
github-actions-gitleaks:我们自己的gitleaks动作
03-26
GitHub动作:Gitleaks 使用Gitleaks简化了Github动作。 工作流程示例 name: Gitleaks on: push jobs: snyk: runs-on: ubuntu-latest steps: - uses: actions/checkout@v2 - name: Run Gitleaks uses: eeveebank/github-actions-gitleaks@v1.0.0 with: depth: 1 - uses: github/codeql-action/upload-sarif@v1 with: sarif_file: gitleaks.sarif
Gitleaks - 一款高效的Github仓敏感信息泄露查询工具
大河之犬的博客
12-08 1173
Gitleaks 是一种 SAST 工具,用于检测和防止 git 存储的硬编码机密,如密码、API 密钥和令牌Gitleaks 是一个开源工具,用于检测和防止签入 Git 存储的机密(密码/API 密钥)。Gitleaks 的主要优点是它不仅可以扫描您最新的源代码,还可以扫描整个 git 历史记录,识别过去提交到您的源代码的任何秘密Github地址。
gitleaks - 检索 Git Commits 的各种密钥信息
WLANQY的博客
01-09 366
【代码】gitleaks - 检索 Git Commits 的各种密钥信息。
从攻击视角看代码隐私安全,9款 Git秘密扫描工具盘点
dzqxwzoe的博客
08-02 1028
代码隐私信息泄露的危害性不容忽视。无论是错误放置的密钥,或是意外泄露的数据密码都可能会转化为即时危机,带来沉重的经济损失。Git秘密扫描是从攻击者的角度出发,提前对需要上传至Git存储的代码数据进行扫描或周期性的扫描,防止敏感信息泄露,并及时删除暴露的信息。Git秘密扫描有两种模式,每种模式都涵盖“持续集成”(ContinuousIntegration,简称CI)/“持续交付”(Continuous Delivery,简称CD)管道的不同阶段。
gitleaks-action:运行gitleaks的GitHub操作,审核git提交的秘密
05-24
我很高兴其他一些人发现这个快速的项目很有用。 但是,由于gitleaks项目现在发布了自己的github动作来包装该工具,因此我将关闭此存储。 我强烈建议您改为使用它。 您可以在以下位置找到它: : gitleaks动作 审核git提交有关gitleaks的机密信息,作为GitHub动作。 的复杂之处。 用法 workflow "gitleaks my commits" { on = "push" resolves = ["gitleaks"] } action "gitleaks" { uses = "eshork/gitleaks-action@master" }
gitleaks:使用正则表达式和熵扫描git(或文件)以查找机密:key:
02-04
Gitleaks是一个SAST工具,用于检测git repos的硬编码机密,例如密码,api密钥和令牌。 Gitleaks的目标是成为一种易于使用的多合一解决方案,用于在您的代码查找过去或现在的秘密。 特征: 扫描秘密 扫描未机密,作为向左转移安全性的一部分 扫描 可用的 通过toml配置的 使用高性能 JSON,SARIF和CSV报告 使用基于密钥或密码的身份验证进行私人仓扫描 安装 Gitleaks可以与Homebrew,Docker和Go一起安装。 Gitleaks也可以从以二进制形式用于许多流行的平台和OS类型。 苹果系统 brew install gitleaks 码头工人
git-data-extractor:从 git 存储提取信息的节点模块
06-04
git-数据提取器 从 git 存储提取信息的节点模块。 安装 使用 NPM npm install git-data-extractor --save-dev 克隆 git 存储 git clone https://github.com/suhdev/git-data-extractor.git 用法 var Git = require ( 'git-data-extractor' ) . Git ; var defaults = { tagMapper : function ( tag ) { var m = tag [ 2 ] . match ( / v [ 0-9 ] [ ^ \/ ] + [ 0-9 ] $ / gm ) , version ; if ( m && m . length > 0 ) { try { version = s
使用Docker构建一个Git镜像使用clone仓
01-08
概述 使用docker已经有一年多了,最近意识到,我在快速编排服务的时候,shell脚本里用到的git还是原生的 于是打算也将git容器化,在dockerhub上搜罗了一筐,找到这个镜像下载量比较高 进去看了dockerfile后,感觉不太适合需求 这里没有提供卷,也没有提供ssh,既不能把仓映射到宿主机,也没有提供clone私有仓的功能(小声bb:都可以做到,但是不方便)。其他的gitclient镜像也都大同小异。 只能自己造个轮子了。 镜像地址 本文的镜像以push到dockerhub,有需要可直接使用: https://hub.docker.com/r/wuli
开源项目-zricethezav-gitleaks.zip
09-03
开源项目-zricethezav-gitleaks.zip,Search Git history for secrets (faster than truffleHog)
使用正则表达式和熵扫描git repos的秘密:key:-Golang开发
05-26
Gitleaks是一个SAST工具,用于检测git repos的硬编码机密,例如密码,api密钥和令牌。 Gitleaks的目标是成为一种易于使用的多合一解决方案,用于在您的代码查找过去或现在的秘密。 Feat Gitleaks是一个SAST工具,用于检测git repos的硬编码机密,例如密码,api密钥和令牌。 Gitleaks的目标是成为一种易于使用的多合一解决方案,用于在您的代码查找过去或现在的秘密。 功能:扫描提交的机密作为向左移动安全性的一部分扫描未提交的机密可用的Github Action Gitlab和Github API支持,允许扫描整个组织,用户和提取/合并请求通过toml配置的自定义规则高性能
Git信息泄露搜索的一些工具总结
weixin_40966980的博客
11-28 4708
关于Git泄露可以用到的一些项目大家自己挑 :) 1.http://gitleaks.com/  2.https://github.com/UnkL4b/GitMiner 3.https://github.com/mschwager/gitem 4.https://github.com/repoog/GitPrey 5.https://github.com/ezekg/git-houn
软件测试周刊(第82期):其实所有纠结做选择的人心里早就有了答案,咨询只是想得到内心所倾向的选择。
毕小烦的学习笔记
07-29 562
B站是如何建设移动真机测试集群的?百人测试团队的测试效能体系应该如何建设?闲鱼交易链路自动化回归测试是怎么做的?请选择有意义的敏捷指标;从用户体验聊前端性能优化;2022 年 JavaScript 开发工具的生态;分贝通大数据体系建设经验分享;领导给你布置了一个任务,怎样做得又对又好?...
Ubuntu安装gitleaks
sonichenn的博客
04-26 277
【代码】Ubuntu安装gitleaks。
配置 Git镜像来加速 GitHub 的访问速度
03-25
4. 使用 Git 命令操作仓时,会自动从配置的镜像地址下载和上传代码,大大提高了访问速度。 需要注意的是,如果要提交代码到 GitHub,仍然需要使用原有的 GitHub 仓地址(即通过 SSH 或 HTTP 协议访问 GitHub)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值