qq数据泄露_用这个开源项目来解决你团队里猪队友泄露公司敏感信息的问题
今天我给大家推荐的这个开源项目,非常的实用,部署上这个开源项目,可以监控团队里猪队友泄露公司敏感信息的问题。
这个开源项目就是:GithubMonitor 。
项目介绍
由于很多猪队友的存在,公司敏感信息通过 GitHub 泄露出去是很常见的。这个项目主要根据关键字与 hosts 生成的关键词,利用 GitHub 提供的 API 监控 Git 泄漏,并在检测到信息泄露的时候发送邮件通知。
比如有很多非常常见的情况发生,比如公司要开源一个项目或者公司里有成员基于公司的项目写了一 demo 发到了 GitHub 的公开库上,可能自己不注意,带着数据库的密码亦或者服务器的 ip 和端口号发布到了 GitHub 上,这些一旦不注意,被别人爬虫抓到,就很容易造成公司敏感信息的泄露。
如果防止这种事情的发生呢,可以使用这个开源项目进行监控,一旦发生泄露,就会发送邮件进行通知。
开源项目特性:
- 对于泄露有对应的泄漏定级,可作为严重性的参考
- 简单却完善:利用 api 获取 GitHub 的搜索结果是最简单高效的方式,加上关键词的限定,保证不超过 GitHub 的 api 限制
- 注释比较详细,可以很快地进行定制
- 自动组合关键字
代码主要逻辑图:
结果示例:
开源作者的一些想法:
个人认为,github 监控最难的在于如何判断检索到的数据是否含有泄露的敏感信息,这是一个很难的问题。
对于攻击方来说,一般只是为了利用泄露信息,那么对于 github 泄密的判断,只需要有就行。假如一共 100 条信息,能检测到 10 条也是很有价值的。当然,发现的泄露越多越好,为了达到这一目的,甚至可以上机器学习,提高对敏感信息的判断力。误报率比较低(谁都不想兴冲冲地去看泄露信息结果发现 password: "********" :D )。
而我这个代码的作用是监控自身公司的泄露。 对于防守方(公司)检测自身泄露来说,不小心放过一条都意味着很大的风险。换句话说,100 条泄露必须尽可能达到 100% 的检测率,甚至不惜以误报率换取准确率。所以,让代码去判断泄露是很无力的,需要人眼过一遍。那么问题来了,那么多数据,人眼看不过来怎么办呢。
提高监控关键字的精确性。 举个例子,假如你的公司域名/ip 为 qq.com/1.1.1.1,那么最好在监控的关键字附上 qq.com/1.1.1.1 这样。类似的方法有很多(自己公司的文件应该有一些特征的。当然肯定有特殊情况,特殊对待吧),目的是减少搜索结果,能提高精确性,降低人的负担。如果你检测的是 qiniu.com password 你会发现每一轮都会有大量的数据,所以别用模糊的关键字。
这一方法还解决了 github api 只能拿到前 1000 个搜索结果(不是页面)的问题,搜索结果少意味着更新的数据也不会多,不会超过 1000 的限制。如果你检测的是 password 你会发现每轮更新的数据都不止 1000 条,这样会产生漏报(万一就是第 1001 条泄露的呢)。
如果你能理解我上面说的,就没必要自己写 github 的爬虫解析页面,直接调用 api 就好了。
信任已有,监控增量,对于攻击者来说,会认为已有的 github 数据存在泄露,需要去淘一遍(当然也有监控增量的)。而对于公司来说,是假设现在 github 没有泄露,然后去监控它的增量,不会淘一遍已有的 github 数据。增量数据包含 2 种:
- 新增泄露:新 push 的文件
- 更新泄露:update 的文件
当然,什么都扛不住猪队友呀 :D对这个开源项目感兴趣的朋友,可以去 GitHub 上关注一下。
开源项目地址:https://github.com/Macr0phag3/GithubMonitor
开源项目作者:Macr0phag3
qq数据泄露_用这个开源项目来解决你团队里猪队友泄露公司敏感信息的问题相关推荐
- qq数据泄露_真良心,腾讯这个app竟然能查账号泄露
最近有朋友都在分享腾讯手机管家,纷纷表示这是一个良心app,能查到自己账号泄露. 仔细想一下,这么多年下来确实忘了自己都在什么平台或网站注册过账号,在黑客泛滥的今天,黑客很容易从一些平台窃取数据库,拿 ...
- python开源项目贡献_通过为开源项目做贡献,我如何找到理想的工作
python开源项目贡献 by Utsab Saha 由Utsab Saha 通过为开源项目做贡献,我如何找到理想的工作 (How I found my dream job by contributi ...
- github 检查代码质量_如何提升开源项目的代码质量?
我们在github上面浏览开源项目的时候,经常可以看到一些小图标badge.这些图标往往暗示了该项目的代码质量,下面以我给gorazor项目添加的badge为例,逐一讲解一下: 本文虽然是以go项目为 ...
- django网上商城_网上商城开源项目合集
大家好,我是章鱼猫. 关于网上商城的开源项目我们之前推荐过几个: 又开源一个小商城系统 前后端全部开源的新零售商城系统 不要淘宝商城,不要京东商城,只要你就够了 今天给大家推荐的这个项目是「Super ...
- gitee项目404问题_七款开源项目,让你数据库管理不再成为一个问题
在开发过程中,数据库是必不可少的一环,但大多数情况下开发者们还是在用命令行来管理数据库.虽然在外人看起来输入一行行代码非常的酷炫,但其中的繁琐可能也只有开发者知道. 七款开源项目,让你数据库管理不再成 ...
- github 6月开源项目_我的开源项目如何在短短5天内在GitHub上赢得6,000颗星
github 6月开源项目 Last month I launched two open source projects on GitHub. A few days later, my Front-E ...
- python 哪些项目_哪些Python开源项目比较好
推荐5个值得关注的Python开源项目! 今天小编看到了五个开源项目,觉得还错,推荐给大家. 1.Wagtail CMS Wagtail是一个基于Django的CMS系统 它拥有优质的用户体验 并且为 ...
- java图片处理开源项目_如何处理离开开源项目
java图片处理开源项目 2015年初,我决定离开我的工作,这是我刚刚工作两年多的时候. 我的家人和朋友中没有一个人对我担任其他职位感到惊讶. 采取这一举措是一件很平常的事情,特别是在我们倾向于频繁更 ...
- 开源项目贡献者_如何管理开源项目的临时贡献者
开源项目贡献者 人们越来越希望在需要的时候随便为项目做贡献,而不是遵守时间表. 这是众多志愿组织和政府所注意到的"临时志愿服务"更广泛趋势的一部分. 这不仅归因于劳动力的变化(使更 ...
- 项目众包 开源项目_如何通过开源项目获利并保持活力
项目众包 开源项目 Chen Ravid is a free software enthusiast and serial entrepreneur. He is one of the foundin ...
最新文章
- 常用的shell脚本
- OpenCASCADE: Code::Blocks构建OCCT
- python简单定义_python定义类的简单用法
- 各种编程语言的按钮输入框
- C. Sum of Log(数位dp)
- Linux系统中源码包tomcat的管理
- iOS 10 不提示「是否允许应用访问数据」,导致应用无法使用的解决方案
- 技术分析是用来骗我的吗?
- 用四位led数码管作显示器的篮球比赛24秒计时器求c语言代码,篮球比赛计时器的设计与实现...
- 小说阅读APP开发定制搭建方案
- 显示器接口针脚定义(D-sub15)
- Python numpy.abs和abs函数别再傻傻分不清了
- Eterm协议中文汉字编码
- Linux中的split命令,文件切割
- Mac系统显示已连接(可以打开qq)但是无法打开浏览器解决方案
- 即将上演的5G测量仪器大战
- 前端json数据的解析遍历
- 电子版药丸,监控你的健康
- JQuery 控制 radio 只读
- 人在国外能买阿里云服务器吗?
热门文章
- 艾伟_转载:在C#中实现3层架构
- 2.算法通关面试 --- 堆栈和队列
- 21. yii 2 library
- 4. CSS id 选择器
- 1. 第一个lavarel 项目
- php中is_uploaded_file()函数的用法
- Linux下进程/程序网络带宽占用情况查看工具 -- NetHogs
- CentOS 通过yum来升级php到php5.6,yum upgrade php 没有更新包怎么办?
- JS随机打乱数组的方法小结
- Linux下如何查找nginx配置文件的位置