github删除文件_如何防止 GitHub 上的敏感信息被泄漏?

最新推荐文章于 2022-05-10 17:48:29 发布
最新推荐文章于 2022-05-10 17:48:29 发布
阅读量240 收藏
点赞数
文章标签: github删除文件
本文介绍了如何检查和移除GitHub上的敏感信息,包括使用Google域名搜索和Gitrob工具进行潜在泄漏检查,以及利用BFG删除敏感数据。此外,还提供了预防信息泄漏的建议,如使用交互式add和仔细审查commit。
摘要由CSDN通过智能技术生成
5a1e856983fab8af6258bc9d73350fb8.png

随着 GitHub 的用户越来越多,许多的大型仓库正陆续往 GitHub 上迁移,作为程序员,难免会不慎将敏感信息提交到 GitHub 平台上,之前的华住酒店事件也提醒了我们 GitHub 仓库中登录凭证对于企业信息安全的重要性,作为一个重度依赖 GitHub 的“码农”,本文将提供一个检查并移除敏感信息的方式。

检查潜在的泄漏

首先我们需要检查出潜在的泄漏,只有定位到敏感信息的位置后我们才能加以修复。

简易操作,使用 Google 的域名搜索,例如:

f3818507586397ba6bd3942104da67aa.png

但是,Git 作为一个版本控制系统,如此搜索能搜索到的最多也是最后一个 commit 中包含的信息,如果需要对一个个人或者组织的所有仓库的所有 commit 进行检查的话,可以使用一个成熟一些的工具,例如:Gitrob。

出于简单起见我们到 GitHub 下载 Gitrob 的可执行文件,地址为:https://github.com/michenriksen/gitrob/releases。

Gitrob 需要申请一个 "personal access token",在 GitHub 个人的 Settings 中选择 "Developer settings":

10975570e9d28f4e0e0daa27b9056a16.png

选择 "Personal access tokens" 并且生成:

4bb19527b716fa4becd7977573953bae.png

将生成好的 token 放入自己的环境变量(比如 .bashrc)中:

5bf642ff00435dce1edbc2a3b41afc10.png

如果不希望改变文件的话可以在执行前直接运行上述指令或通过加运行参数-github-access-token 启动,不过这样的话记得清理掉自己的指令历史。

开始执行分析,例如分析 LeetCode 的仓库:

ca89d27ce602807228424c1b925920e7.png

此时会在本地监听一个 127.0.0.1:9393 的地址供用户访问,如果发现了类似登录凭证的信息的话,会直观地在页面上显示:

f52c4e0638fb16d7afc0a73ee25e69ba.png

移除并删除敏感信息

当我们发现了历史 commit 中包含敏感信息后,第一步便是如何移除掉,由于 Git 是版本控制系统,直接删除文件重新 commit 就不要指望了,最简单的方法是使用一个工具——BFG。

对于不小心添加的文件,使用以下操作移除:

6292dd8a641b9bc40c3dff7e08d1e853.png

对于敏感的文件内容,使用:

fae944e62a01ad1d08470cadd9a3c772.png

如何防止发生信息泄漏事件

上文中给出了发现和移除的方法,但是这些仅仅是补救措施,我们在日常 Git 使用途中应该从哪些方面考虑来减少这类事件的发生呢?

  • 在 add 阶段不要 git add . ,而是尝试使用 git add --interactive 来审核每一个文件
  • 在 commit 前通过 git diff --cached 仔细检查文件
  • 每个特性使用自己的 branch 并且持续往 master 分支合并,合并前需多人审核
d12c25af883c71a7f2f1b6cc5d60ff1b.png

作者:Nova

声明:本文版权归力扣 LeetCode 所有,未经允许禁止转载。

weixin_39699313
关注
GitHub上公开秘密:泄露凭证和API密钥后该怎么办
编程故事的地方
03-27 2120
作为开发人员,如果发现刚刚将敏感文件或机密公开给公共git存储库,则需要执行一些非常重要的步骤。 什么是秘密? 在本文档中,当我们使用“机密”一词时,我们指的是用于身份验证或授权的任何内容,最常见的是API密钥,数据库凭据或安全证书。 第一步,呼吸:在大多数情况下,如果您认真遵循本指南,则只需几分钟即可消除大部分潜在损害。 这篇文章将介绍消除风险并确保将来不发生这种风险所需的四个步骤。 ...
如何在上传Github时隐藏配置文件中的敏感信息
qq_45955719的博客
06-18 605
如何在上传Github时隐藏配置文件中的敏感信息
本地代码上传至GitHub删除GitHub上的文件
weixin_30487317的博客
06-04 210
本地上传代码至GitHub以及删除github上的文件 一、本地上传代码至GitHub 1、利用GitBash进入本地项目的根目录: git init 2、在命令行中输入:ll -a 可以看到一个.git的文件 3、执行:git add . 将当前目录下的所有文件都加入本地仓库; 4、添加注释: git commit -m 'readme.txt' 5、在GitHub上创建仓库reposi...
渗透测试问题整合
热门推荐
qq_42039946的博客
08-07 1万+
一、思路流程 1、信息收集 a、服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) b、网站指纹识别(包括,cms,cdn,证书等),dns记录 c、whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等) e、子域名收集,旁站,C段等 f、google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等 g、扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄漏等 h、传输协议,通用漏洞,exp,github源码等 2、漏洞挖掘
Github-Monitor:Github敏感信息泄漏监控器(Github信息泄漏监控系统)
02-06
VIPKID GITHUB显示器 GITHUB MONITOR是vipkid安全研发团队打造的用于监控Github代码仓库的系统。通过该系统可以及时发现企业内部代码位置,从而降低由代码导致的一系列安全风险。用户仅需通过简单的任务配置,即可...
Hawkeye:GitHub临时监控系统(GitHub敏感信息泄漏监控蜘蛛)
02-05
监控github代码库,及时发现员工托管公司代码到GitHub行为并进行预测,降低代码潜在的风险。 截图 最近更新 2020-11-20由于GitHub官方限制了API的账号密码认证,导致在配置GitHub账号时,需要账号输入框输入生成的,...
GitMAD:在Github上监视,警报和发现敏感信息和数据泄漏
02-03
GitMAD在Github上托管的代码中搜索匹配的关键字。 找到匹配项后,GitMAD将克隆存储库并在文件中搜索一系列可配置的正则表达式。 然后,GitMAD获取这些结果,并将其插入数据库中以供以后查看。 这些结果也可以作为...
github_huanghyw_jd_seckill
03-08
Jd_Seckill ...如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件删除相关脚本。 以任何方式查看此项目的人或直接或间接使用jd
github_Sitoi_dailycheckin
02-19
间接使用脚本的任何用户,包括但不限于建立VPS或在某些行为上违反了国家/地区法律或相关法规的情况下进行传播,本人对于可能引起的任何泄漏或其他后果概不负责。 请勿将本仓库的任何内容用作商业或非法目的,否则...
如何删除GitHub中的项目
kingroc的博客
03-04 8910
前文在GitHub 10分钟教程中讲述了,如何创建和使用Github。但我们该如何删除那些不打算要的项目呢?1.选择我们要删除的项目: 接下来我们就删除 kingroc711下面的这个test项目。从这个项目的名字中就可以看出来,好像就是为了删除而创建的。点击右上方红框中的Settings。2.进行删除: 在设置页中显示仓库的名字,是否发现旁边有一个Rename的按钮,对的给仓库改名字就是
利用BFG删除git提交历史中的敏感内容、或者文件
bglmmz的专栏
05-10 672
有时候,我们在项目的配置文件中,或者单元测试代码中,不小心把一些敏感信息写上了,然后提交到到了github,等我们发现时,即使把敏感信息删除了,奈何还有历史提交,这也暴露敏感信息。此时,我们可以利用工具BFG来清除历史提交中的敏感信息,有两种方法: 把配置文件、或者单元测试文件的每个提交的内容中的密码修改掉。 把配置文件、或者单元测试文件的每个提交都删除,然后我们重新建了配置文件、或者单元测试文件再提交。 BFG工具官网地址 https://rtyley.github.io/bfg-repo-
Git学习笔记:如何删除GitHub上的项目
去向前方的博客
06-26 4219
目录 目录 前言 Step1 Step2 Step3 Step4 final 前言 再使用GitHub的过程发现了一个问题,要是一个库,我不想要了怎么办。 查询了一下资料,做下笔记: Step1 进入自己的主页选择要删除的项目 Step2 点击setting进入详细设置 Step3 将页面拉到最下面,然后点击delete this reposit...
排查github上有无代码泄露的两大不错的工具
jackyrongvip的专栏
05-06 1063
排查github上有无代码泄露的两大不错的工具, 分别是: 1)Gitrob(介绍文章:http://www.91ri.org/11928.html) 2)https://github.com/MiSecurity/x-patrol
记一次github删库经历
qq_38348679的博客
12-14 414
之前将项目上传到github,但是里面包含了数据库账号密码等信息,在我删除之前,发现有人fork了此项目。针对此情况,我尝试通过以下两种方法进行解决 尽量联系本人 运气好的话,这个人在自己的github中留下自己的邮箱或者其他联系方式。没有的话,可以通过issue向他发出删除请求;或者可以把此项目clone下来,然后Git push后加上自己想要删除此项目的要求。但是一般情况下这种方法不有效...
GITHUB信息泄露搜集工具GSIL修改版
STAR_LORD
01-10 2867
文章目录项目地址(欢迎Star、Fork)原项目地址修改后的地址关于GSIL-PRO关于开源项目GSIL修改内容使用方式原项目GSIL代码分析,方便快速定位功能点参数配置:限制关于源码,有兴趣的可以改成自己想要的样子 项目地址(欢迎Star、Fork) 原项目地址 GSIL 修改后的地址 GSIL_PRO 关于GSIL-PRO 该项目修改自开源项目GSIL,初衷是为了方便自己的使用,并做了一些...
github删除文件_删除github上仓库里的文件
weixin_39964590的博客
11-30 325
# 一.删除已有仓库如果我们想要删除Github中没有用的仓库,应该如何去做呢?进入到我们需要删除的仓库里面,找到“settings”即仓库设置,然后,在仓库设置里拉到最底部,找到“Danger Zone”即危险区域,点击“Delete this repository”这样就可以删除该仓库了。# 二.删除Github中的某个文件文件夹我们知道,在Github上我们只能删除仓库,并不能删除文件或者...
常见信息泄露类漏洞风险与解决方案
晓川吖的专栏
09-09 8756
1.概述 信息泄露类漏洞,是指由于技术人员疏忽,在开发或者运维过程当中,把敏感信息不恰当的展示给了用户所产生的安全漏洞。 一旦所产生的信息泄露问题被恶意攻击者利用,导致网站用户信息被泄露,甚至导致服务器被入侵。 漏洞类型统计: 2.安全事件 2014年携程被曝安全支付日志可遍历下载漏洞 导致大量用户银行卡信息泄露 携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。 同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录
清除 Git 及 Github 上的敏感信息
Schnee-Cy的博客
02-14 1120
我们在之前的博客 个人网站搭建(Day 11)— git 与 github 的使用  中有说过,Github是一个供用户使用的远程仓库,我们能够将我们的代码托管至github,但是如果我们使用的是免费版的话,那么我们的项目代码便是完全开源的。 那么问题来了,我们知道 Django 项目中有一个 settings.py 文件,包含了我们项目的所有设置信息,自然包括我们的密码(比如说mysql 数据...
github加速下载网站
最新发布
09-19
GitHub加速下载网站是指通过特定的方法和技术手段,优化GitHub仓库中的资源下载速度,提升用户体验的网站。...然而,使用这些加速下载网站需要注意的是,确保网站的安全性和可信度,以避免可能的信息泄漏和安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值