黑客发布GitHub密钥定位工具“TruffleHog”

E安全 / 国际 / 

E安全1月10日讯 研究人员Dylan Ayrey发布工具,帮助管理员深入研究GitHub Commits,找到高熵密钥。这款工具名为“TruffleHog”,能通过Github定位高熵密钥,从而避免管理员暴露他们的网络和敏感数据。

黑客发布GitHub密钥定位工具“TruffleHog”-E安全

TruffleHog的开发人员Dylan Ayrey去年警告“粘贴劫持”攻击(Pastejack Attack)。他表示,这款工具将定位任何超过20个字符串的高熵密钥。

Ayrey表示,“TruffleHog”通过Git存储库搜索高熵字符串,深入挖掘提交历史(Commit History)和分支(Branch)

他表示,“这款工具能有效找到意外提交的高熵密钥。如果检测到高熵字符串超过20个,将打印到屏幕上。”

Ayrey表示,该工具搜索分支的整个提交历史,检查Commit中的每个diff,评估base64字符集的香农熵(Shannon Entropy)。此外,还评估大文本(blob)(每个大文本超过20个字符,且每个Diff中包含这些字符集)的香农熵。对该工具赞不绝口的用户声称,Amazon已经在搜索GitHub AWS密钥,并在发现任何密钥时关闭相应服务。

黑客发布GitHub密钥定位工具“TruffleHog”-E安全

安全专家常常警告开发人员,在GitHub上发布项目存在泄漏敏感数据的风险。 2013年1月,GitHub推出新的内部搜索功能,可以轻松查找密码、加密密钥和其它数据。当时,用户在GitHub上发现了几千个这样的隐私数据。

最近,专家警告Slack Bot的开发人员,他们在GitHub上发布Slack访问令牌,但却不知不觉地泄漏了敏感数据,包括商业关键信息。

目前TruffleHog在GitHub的星数(Star)超过700,成为继“Pastejack”(Ayrey开发的)之后第二个受欢迎的项目。

TruffleHog只依赖GitPython。TruffleHog下载地址:https://github.com/dxa4481/truffleHog

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。