github工具_自己动手打造Github代码泄露监控工具

最新推荐文章于 2023-12-08 16:37:54 发布
最新推荐文章于 2023-12-08 16:37:54 发布
阅读量322 收藏
点赞数
文章标签: github工具 idea用token登陆github 
作者:ztencmcp来源:https://www.freebuf.com/articles/web/173479.html

0×00 背景

众说周知,Github这块肥肉很受安全人员和黑客关注。因为很多新进程序猿和老手不经意就会把他们的劳动成果分享出来,而往往这种开源精神,奉献精神会对企业带来一定的安全风险。

例如代码里面包含各种敏感信息(用户名、密码、数据库信息、内网IP,甚至程序猿的身高、体重、年龄和婚姻状况。哈哈),所以Github信息泄露监控就不得不亮剑。另外也是小弟所在的企业被第三方找出有敏感信息泄露,囧,本来打算自己找些开源工具。看了些开源工具,都不太适合,所以就有了这篇自己动手打造Github代码泄露监控工具。

0×01 撸起袖子开干

人生苦短,我用Python!

Python强大的库、简洁语言以及开发迅速等特点,深受广大程序开发者喜爱。那么我们就用Python来开发吧!

原理及步骤

我们知道Github并未开放查询搜索的API,那么我们只能通过爬虫来爬取页面,然后通过解析器对返回的内容解析,从而获取到我们想要的信息。具体步骤如下:

1.登陆Github;2.查询关键词结果呈现;3.邮件预警;4.配置文件读取。

开发环境及用到的Python库

开发环境为:MacOS10.12.6, Python版本3.6.5

Python库:requests,lxml,csv,tqdm,email,smtplib,configparser,time

请看官老爷们去了解以上Python库的用法,这里不再赘述。

0×02 步骤解析

1.登陆Github

登陆这里设置了一个坑,登陆https://github.com/login会跳转到https://github.com/session,然后提交请求主体。而主体包含了如下参数:

“commit=Sign+in&utf8=%E2%9C%93&authenticity_token=sClUkea9k0GJ%2BTVRKRYsvLKPGPfLDknMWVSd%2FyWvyGAR9Zz09bipesvXUo8ND2870Q2FEVsQWFKScyqtV0w1PA%3D%3D&login=YourUsername&password=YourPassword”

commit、uft8、login和password值相对来说是固定的,我们要做到工具登陆,那么需要获取到authenticity_token这个值,然后一起通过POST方法提交。那应该如何获取该值呢?

我们打开浏览器尝试手动正常登陆,同时按F12打开“开发者工具”,输入用户名和密码可以看到跳转到https://github.com/session,而authenticity_token的值就在如下图位置:

f6b07b56623b851e3d937e88624a63aa.png

虽然是隐藏的,但是我们可以通过Xpath来获取它,然后跟其他参数一起提交登陆Github。看代码:

42e7e046a252f3762a2ce246dbf22550.png

2.查询关键词及结果呈现

登陆后请求查询的URL,然后获取响应的页面,使用xpath解析节点获取想要的信息。关于xpath的语法请看这里

http://www.runoob.com/xpath/xpath-tutorial.html

我们还要将获取的信息写入表格里面,便于以后查看。详情如下:

36c7ca4db0b15fcfd5d5fc909840e182.png
7afd04f03bc8716af83328bc96ecd6ef.png

以上代码的核心主要是采用xpath解析DOM树,然后根据需要的数据逐一获取然后写入表格中。最后请求raw.githubusercontent.com来获取源代码,根据用户提供的payload进行逐一匹配,如果匹配则记录payload、URL以及代码,然后发送邮件预警。

3.邮件预警

其实邮件发送部分不是工具的重点,但是还是有必要贴上代码部分。请看:

9c12868a9a559d302cb40777e6151421.png

4.配置文件读取

我们将创建一个.ini的文件,便于工具读取我们想要传入工具的关键词、用户名、密码以及payload等等。ini配置文件定义如下:

c41bda7842eda3a48a76ff067bff468d.png

然后我们在main函数中读取它们,然后传入工具中。

1c28f50fb90f85df5c83f82a7b9bfc23.png

以上代码中存在另外一个sendmail函数,同样是发送邮件的功能跟sendwarning功能一样,只是发送的内容不一样。这里不再赘述。这样我们就完成了整个工具的核心部分。怎么样?对于老司机来说很简单吧!

0×03 监控效果

1.运行效果

ee53452eb1cfc4edb8cccf67f610da0b.png

2.邮件预警

d116502b3139683259530c1dc72d0ecb.png

0×04 总结

该工具的特点在于它会先使用主关键词进行搜索,比如公司域名、邮箱、人员姓名等等。然后再从结果中去搜索使用者自定义的payload,如Password,User,Database等等。另外配合crontab可以做到每天进行搜索然后进行预警,但是建议每天运行2次,以防触发Github的反爬机制。其实写工具并不难,多思考,多练习,人人都是开发大佬。最后感谢@0xbug大佬的Hawkeye带来的灵感和参考。最后完整代码参考https://github.com/Hell0W0rld0/Github-Hunter。各位大佬请轻拍!谢谢!

weixin_39703468
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vinifera:一种GitHub监视工具,用于查找属于您组织的内部泄漏
03-04
Vinifera-监控Github上的内部泄漏 Github监控工具 :robot: 自2019年12月以来,我们一直在生产中使用Vinifera,并帮助我们预防了安全事件。 Vinifera最初是一个内部项目,以确保我们公共捐助的安全,并监控Github上的潜在泄漏。 我们认为,这将有助于其他公司在公共资源(如Github)方面加强他们的安全卫生。 什么是Vinifera? Vinifera允许公司/组织监视公共资产,以查找有关内部代码泄漏和潜在违规的参考。 有时,开发人员可能会偶然泄漏内部代码和凭据。 Vinifera旨在帮助公司在适当的时候发现这些违规行为并对此事件做出响应。 它是如何工作的? Vinifera监视属于该组织的开发人员,监视和扫描公共贡献,以通过查找定义的引用来查找潜在的违规和违反内部/秘密/专有代码的行为。 Vinifera通过同步组织用户来工作。 对于每个用户,所
Github 推出检测代码的新工具
weixin_33709219的博客
01-05 151
2019独角兽企业重金招聘Python工程师标准>>> ...
一个开源项目:GitHub 泄露监控系统
somenzz的博客
12-04 1247
偶然的查询,我在 GitHub 看到了一个很棒的开源项目。可以说很多公司都有这个需求,就是看看哪些人把公司项目的源代码托管到了开源网站,这肯定对公司不利,因此需要监控一下,有了就报警,及...
静态代码监测工具
iLaoda
05-11 360
常用的静态代码监测工具有以下: Android Lint FindBugs (字节码分析,须编译通过) FireLine (360) PMD CheckStyle Coverity (商业) Lint 插件支持 Gradle脚本支持 lint.xml 配置文件 监测源码 生成 .html 监测结果 使用: 查看检测模式ID和类别 $>lint –list生成HTML文档 $>cd “工程目录
全链路监控工具:zipkin,skywalking,pinpoint 详细介绍
小楼一夜听春雨,深巷明朝卖杏花
06-16 2294
github: https://github.com/openzipkin/zipkin
信息安全_github泄露监控实践.pptx
08-14
【信息安全_github泄露监控实践】 在当今数字化时代,信息安全已经成为企业和个人关注的焦点。随着开源社区的繁荣,尤其是像GitHub这样的平台,它为开发者提供了一个共享和协作的平台,但同时也可能成为信息泄露的...
Github-Monitor:Github敏感信息泄漏监控器(Github信息泄漏监控系统)
02-06
GITHUB MONITOR是vipkid安全研发团队打造的用于监控Github代码仓库的系统。通过该系统可以及时发现企业内部代码位置,从而降低由代码导致的一系列安全风险。用户仅需通过简单的任务配置,即可在分钟级发现代码引发...
Hawkeye:GitHub临时监控系统(GitHub敏感信息泄漏监控蜘蛛)
02-05
监控github代码库,及时发现员工托管公司代码GitHub行为并进行预测,降低代码潜在的风险。 截图 最近更新 2020-11-20由于GitHub官方限制了API的账号密码认证,导致在配置GitHub账号时,需要账号输入框输入生成的,...
GithubMonitor-GitHub敏感信息监控脚本
09-14
GitHub敏感信息监控脚本,通过检索GitHub的搜索结果关键字来发现敏感信息,降低程序员GitHub项目上泄露敏感信息的可能性。
程序自动监视工具
06-06
工具可以开机自动启动,在后台运行,自动监控指定程序是否在运行,如果不在运行就会弹出提示选择信息,用户选择启动或不启动。如果用户长时间不用我们的软件的情况下,此工具就可以每隔30分钟就监测一次。
github-dorks:通过github搜索找到泄露的秘密
02-03
Github Dorks 是一个非常强大且有用的功能,可用于在存储库中搜索敏感数据。 Github服务对象的集合可以揭示敏感的个人和/或组织信息,例如私钥,凭据,身份验证令牌等。此列表应该用于评估系统的安全性和进行笔测试。 GitHub Dork搜索工具 是一个简单的python工具,可以搜索您的存储库或组织/用户存储库。 目前,它并不是一个完美的工具,但提供了基本功能,可以根据文本文件中指定的代码自动在存储库中进行搜索。 安装 该工具使用与GitHub Search API进行通信。 克隆此存储库并运行: pip install -r requirements.txt 用法 GH_USER - Environment variable to specify Github user GH_PWD - Environment variable to specify password GH_TOKEN - Environment variable to specify Github token GH_URL - Environment variable to specify
Github-Hunter:该工具用于在Github上搜索敏感信息-快速版本在这里
05-02
Github-Hunter v2.3 该工具用于在Github上搜索敏感信息。 快速版本请访问 要求 Python 3.x 操作系统支持 Linux,MacOS,Windows 安装 1. git clone https://github.com/Hell0W0rld0/Github-Hunter.git 注意:Github Hunter仅支持Python3.x,如果您使用的是Python2.x,请在使用它之前进行一些测试2. cd Github-Hunter 3. pip install virtualenv 4. virtualenv --python=/usr/local/bin/python3 env 5. source venv/bin/activate 6. pip install -r requirements 设定值 要使用它,必须在info.ini.example更改参
GitHub项目监控——gitpython&go-git5操作git
General_zy的博客
11-01 574
对于常用Github的用户来说,经常有一些自动化的需求。比如监控某些项目的更新情况并实时拉取,比如监控github全网上传的代码是否携带了公司的APIKEY,SECRETKEY等…
Gitleaks - 一款高效的Github仓库敏感信息泄露查询工具
最新发布
大河之犬的博客
12-08 1263
Gitleaks 是一种 SAST 工具,用于检测和防止 git 存储库中的硬编码机密,如密码、API 密钥和令牌Gitleaks 是一个开源工具,用于检测和防止签入 Git 存储库的机密(密码/API 密钥)。Gitleaks 的主要优点是它不仅可以扫描您最新的源代码,还可以扫描整个 git 历史记录,识别过去提交到您的源代码的任何秘密Github地址。
【漏洞挖掘】——58、GitHub信息泄露
Fly_鹏程万里
10-20 743
GitHub是一个非常流行的代码托管和版本控制平台,许多组织和开发者使用它来托管和分享代码,如果GitHub的安全措施不当或用户不小心可能会导致GitHub信息泄露的问题,以下是一些可能导致GitHub信息泄露的原因访问控制:如果用户错误地设置了GitHub仓库的访问控制,可能会导致未授权的用户或机器人访问敏感信息恶意攻击:黑客可以使用各种手段,例如钓鱼攻击和社交工程攻击,来获得GitHub用户的凭据并访问其仓库。
敏感信息泄露搜索之GitHub
qq_60115503的博客
05-12 2399
众所周知,当今是大数据时代,大规模数据泄露事情一直在发生,从未停止过,但有些人不知道的是很多时候一些敏感信息的泄露其实是我们自己无意中造成的,然而一个小疏忽,往往却造成一系列连锁反应…… Github上敏感信息的泄露,就是一个典型的例子,Github虽然方便开发者,但其中也埋藏着一些安全隐患。
Python实战之网络与爬虫篇-----如何监测github项目更新
Mind_programmonkey的博客
01-19 1437
如何监测GitHub项目更新并自动打开网页 1.问题求解 拆解问题: 如何获取网页资源 如何监测网页的数据变化(每次下载Requests库;对比变化,持续运行) 如何自动打开网页(使用内置模块来实现webbrower) 2.前期知识 (1)编程工具   pycharm (2)requests库、webbrower 在Python爬虫开发中最为常用的库就是使用requests实现...
GitHub代码泄露监控系统
百度SEO工具
02-05 503
简介: 码小六是一个十分专业的GitHub代码泄露监控系统,软件提供了全可视化界面,操作也相对来说简单了许多,新手用户也能快速上手,支持GitHub 令牌管理及智能调度,扫描结果信息也十分丰富,同时支持支持批量操作,非常方便,为企业安全提供更有保障的防护。 软件特色: 任务配置灵活,可单独配置任务扫描参数 支持白名单模式,主动忽略白名单仓库 支持邮件、钉钉、WebHook、Tele gram、企业微信通知 软件亮点: 全可视化界面,操作简单 支持 GitHub 令牌管理及智能调度 扫描结果信息丰富,支持
源码泄露(bugku备份是个好习惯)
a3320315的博客
08-11 371
按照题目 备份是个好习惯,是让我们寻找 .bak文件的,也就是说 存在某个文件的.bak文件可以访问,那就试试 http://120.24.86.145:8002/web16/index.php.bak ,确实有点让新手小白有点难以接受,这里想推荐一航大佬的一款源码泄露工具,可以自动访问常见的CTF线索文件,如果返回正常说明文件存在。 下载地址 https://coding.net/u/y...
GitHub敏感信息监控:防止企业数据泄露
"Github敏感信息泄露监控.pdf" 在现代软件开发过程中,GitHub作为全球最大的开源代码托管平台,存储了大量的企业项目代码。然而,由于开发者或团队成员的安全意识不足,有时会在GitHub上无意间泄露敏感信息,如公司...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值