Github上寻找敏感信息技巧分享

先给不知道什么是Github的朋友们科普一下什么是Github

Github是一个分布式的版本控制系统,目前拥有140多万开发者用户。随着越来越多的应用程序转移到了云上,Github已经成为了管理软件开发以及发现已有代码的首选方法。

Github可以托管各种git库,并提供一个web界面,但与其它像 SourceForge或Google Code这样的服务不同,Github的独特卖点在于从另外一个项目进行分支的简易性。

关于Github的更多详情请见下面链接http://baike.baidu.com/view/3366456.htm?fr=aladdin

众所周知,当今是大数据时代,大规模数据泄露事情一直在发生,从未停止过,但有些人不知道的是很多时候一些敏感信息的泄露其实是我们自己无意中造成的,然而一个小疏忽,往往却造成一系列连锁反应……

Github上敏感信息的泄露,就是一个典型的例子,Github虽然方便开发者,但其中也埋藏着一些安全隐患,接下来我就跟大家分享一下我与Github的一些情一些事

0x02 #Github之邮件配置信息泄露#

很多网站及系统都会使用pop3和smtp发送来邮件,不少开发者由于安全意识不足会把相关的配置信息也放到Github上,所以如果这时候我们动用一下google搜索命令语句,构造一下关键字,就能把这些信息给找出来了。

我的各种姿势:

site:Github.com smtp

site:Github.com smtp @qq.com

site:Github.com smtp @126.com

site:Github.com smtp @163.com

site:Github.com smtp @sina.com.cn

site:Github.com smtp password

site:Github.com String password smtp

……

我们也可以锁定域名搜索结合厂商域名 灵活运用例如搜百度的

site:Github.com smtp @baidu.com

案例展示

0x0201.某著名互联网公司B一员工邮箱账号密码泄露
这里写图片描述
该公司另一员邮箱账号密码泄露
这里写图片描述
成功进入该公司某员工邮箱
这里写图片描述
某程序员163邮箱账号密码泄露
这里写图片描述
某程序员QQ邮箱账号密码泄露
这里写图片描述
成功登陆该QQ邮箱
这里写图片描述
邮件配置这块就举例这里为止了

0x03 #Github之数据库信息泄露#

我的各种姿势:

site:Github.com sa password

site:Github.com root password

site:Github.com User ID=’sa’;Password

……

案例展示:

0x0301.某国内著名互联网公司A内网mssql数据库账号密码泄露 sa权限(漫游内网大牛最喜欢了)
这里写图片描述
某著名人才招聘公司内网mysql数据库账号密码泄露 roo权限(漫游内网大牛最喜欢了)
这里写图片描述
0x04 #Github之svn信息泄露#

我的各种姿势:

site:Github.com svn

site:Github.com svn username

site:Github.com svn password

site:Github.com svn username password
……

案例展示:

0x0401.又是某互联网公司B SVN信息泄露]
这里写图片描述
0x05 #Github之数据库备份文件#

我的姿势:

site:Github.com inurl:sql

……

这个往往能收到不少好东西

一个数据库备份文件 从而找到后台管理员账号密码 找到地址登陆后台这样的例子有不少

案例展示:挑了一个由于存放数据库备份文件导致泄露中国联通8000员工邮箱及手机号的案例
这里写图片描述
0x06 #Github之综合信息泄露#

我的各种姿势:

site:Github.com password

site:Github.com ftp ftppassword

site:Github.com 密码

site:Github.com 内部

……

太多太多了 就不一一列出来了 大家自由发挥

案例展示:

0x0601.试了一下 这个基本里面的密码基本失效了 就不打码了
这里写图片描述
如果别人在第一时间看到这份文件 危害就来了

0x0602.最后直接来个诈尸 当时翻到这份文件时简直是吓鸟了 密码简直太全了
这里写图片描述
上面图帖的是关于此程序员的一系列密码泄露

试了服务器账号密码和微信公众平台,以及新浪微博官方账号全部正确,还可域名劫持,支付宝账号密码以及支付密码都有了,如果里面有钱可被瞬间盗走……

但作为一名白帽子,看到这样危害极大的信息泄露,当时马上通知该网站负责人修复……

End 大家有什么新姿势可以留言补充哈

0x07 结束语

呼吁广大使用Github平台的程序员要注意保护自己的信息安全问题,总而言之,安全无小事,……

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值