推荐两款github敏感信息搜集工具(gsil、gshark)
推荐两款github敏感信息搜集工具(gsil、gshark) - 云+社区 - 腾讯云 (tencent.com)
github敏感信息泄露是很多企业时常忽视的一个问题,国外有一份研究报告显示,在超过24,000份的GitHub公开数据中,发现有数千个文件中可能包含敏感信息,原文链接https://www.anquanke.com/post/id/198361,整体情况如下:
翻译过来便是:
- 4109个配置文件
- 2464个API密钥
- 2328个硬编码的用户名及密码
- 2144个私钥文件
- 1089个OAuth令牌
总体占比高达50.56%,想想这有多可怕吧
所以我们能在第一时间发现自己企业泄露了哪些信息或者获取别人énénén······是很有必要的,这时你就需要下面两个神器啦
1、gsil
介绍:此工具主要用于GitHub敏感信息泄露的监控,可实现邮件实时告警,缺点不是可视化
所需环境:
- Python2、3皆可,笔者用的是Python3
- gsil项目:https://github.com/FeeiCN/GSIL
- 开启
POP3/SMTP
服务的邮箱 - 一个github账号token,获取地址:https://github.com/settings/tokens
项目安装:
建议在安装之前把pip升级到最新版,不然有可能报错,命令如下:
python3 -m pip install --upgrade pip
复制
然后进入想要安装的目录,依次输入:
git clone https://github.com/FeeiCN/gsil.git
复制
cd gsil
复制
pip3 install -r requirements.txt
复制
这就安装完了,下一步进入gsil目录找到config.gsil.example
文件
内容如下:
[mail]
host : smtp.exmail.qq.com //这个最后要改成smtp.qq.com
port : 25 //这个端口smtp服务一般是465
mails : your_mail //这是你的邮箱地址Ps:多个邮箱用,隔开
from : GSIL
password : your_password //这是生成的授权码
to : feei@feei.cn //这是接受邮件的邮箱地址
cc : feei@feei.cn //这是抄送邮件的邮箱地址[github]
clone : false //扫描到的漏洞仓库是否立刻Clone到本地
tokens : your_github_token //这是你github的token
复制
邮箱服务配置:
这里以QQ邮箱为例,找到【设置】点击【账户】下拉找到POP3/IMAP/SMTP/Exchange/CardDAV/CalDAV服务
一栏,点击开启,绑定QQ安全中心的用户需要输入app中的令牌
验证成功授权码就拿到啦
github获取token:
进入https://github.com/settings/tokens页面点击生成新令牌
然后会验证密码
勾选public_repo
然后生成就完活了
最后将配置文件改成这样就行了
[mail]
host : smtp.qq.com
port : 465
mails : nsq88@vip.qq.com
from : GSIL
password : jvydbjshjvhvjdsc
to : nsq88@vip.qq.com
cc : nsq88@vip.qq.com[github]
clone : false
tokens : 1ef5d5f0bajdshvcb455dmcbmdbh29046d5b
复制
配置搜索规则:
如图找到rules.gsil.example
文件,修改你想搜索的内容
解释如下:
{# 一级分类,一般使用公司名,用作开启扫描的第一个参数(python gsil.py test)"test": {# 二级分类,一般使用产品线"mogujie": {# 公司内部域名"\"mogujie.org\"": {# mode/ext默认可不填"mode": "normal-match","ext": "php,java,python,go,js,properties"},# 公司代码特征"copyright meili inc": {},# 内部主机域名"yewu1.db.mogujie.host": {},# 外部邮箱"mail.mogujie.com": {}},"meilishuo": {"meilishuo.org": {},"meilishuo.io": {}}}
}
复制
都配置好以后你可以先检查一下token的有效性,这样部署就完成了
python gsil.py --verify-tokens
复制
开始获取敏感信息 :
终端输入
python gsil.py test
复制
这是我配置的规则,有点多
结果展示:
比如这里有一个泄露用户名及密码的
点击e8b503
就可以直接定位到文件位置
2、gshark
介绍:这是个可视化的监测工具,它不仅可以监控github
,还可以监控gitlab
所需环境:
- go
- 64位gcc
- Linux 一个github账号token,获取地址:https://github.com/settings/tokens
不建议使用window部署,别问为什么,问就是“错错错,是我的错”
安装go
apt-get install golang
复制
Linux中一般自带gcc,没有的话跟上面一样安装就行了
项目安装:
gshark安装可以执行命令,也可以直接到github下载
git clone https://github.com/madneal/gshark
复制
然后执行
go get ./...
复制
如果报错没有执行成功可以试试这个更换国内源
go env -w GOPROXY=https://goproxy.cn
复制
完成后执行
go build main.go
复制
然后改个文件名就哦克了
mv app-template.ini app.ini
复制
运行服务:
开启后台web服务
./main web &
复制
浏览器中输入
http://127.0.0.1:8000/admin/login
复制
账号密码都是gshark
进去之后先添加github的token
规则配置:
改一下规则,想扫那个子域名或者关键字填上就行
规则配置好后点击enable
启用规则,想停用就点右边那个
过滤规则可以自己添加
然后回到终端输入下面命令开始监测
./main scan
复制
结果展示:
过一段时间源代码扫描报告
中就会有一堆结果
直接点击上面的链接会跳到那个文件,这时你就可以愉快的寻找敏感信息啦,哦耶
推荐两款github敏感信息搜集工具(gsil、gshark)相关推荐
- 介绍两款App敏感信息收集工具
介绍两款App敏感信息收集工具 1.APKLeaks 2.ApkAnalyser 1.APKLeaks APKLeaks是一个apk文件敏感信息扫描工具,它会扫描apk来获取URI.端点和secret ...
- 轻量却超强——推荐几款好用的截图工具
轻量却超强--推荐几款好用的截图工具 阅读导览(点击快速跳转): 1.FScapture 2.Snipaste 3.Picpick 相关文件下载及链接 1.FScapture(返回目录) FScapt ...
- kali操作系统+信息搜集工具
1.完善自己虚拟机的kali linux系统,将系统升级到最新版本 2.配置kali操作系统 修改更新源 /etc/apt/sources.list apt-get update 更新软件列表 ap ...
- 推荐两款程序员必备的画图神器
缘起 最近经常有伙伴问我,作为程序员,有没有好的画图工具推荐,领导说Microsoft Visio画图工具很强,让我们使用,但是我就是用的不习惯.还有没有其他高端的牛逼的,容易上手,一用就爽的画图工具 ...
- 推荐两款移动开发者服务
腾讯的产品一直都是口碑不错,从开发者角度,我个人还是比较信赖腾讯的技术,这里推荐两款能帮助到个人开发者和公司的一些开发者服务平台 优测(http://utest.qq.com/) 腾讯Bugly(ht ...
- 领英Linkedin信息搜集工具InSpy
领英Linkedin信息搜集工具InSpy 领英Linkedin是一个知名职业社交媒体网站.通过该网站,渗透测试人员可以获取公司内部组成和员工信息.Kali Linux提供一款专用的信息收集工具InS ...
- Tweet信息搜集工具tinfoleak
Tweet信息搜集工具tinfoleak 推特是国外用户常用的社交网站.通过分析用户发布的推文以及社交活动,可以获取大量的个人信息.Kali Linux新增一款Tweet信息搜索工具tinfoleak ...
- pythoninformation leakage_GitHub - MrFk/GSIL: Github Sensitive Information Leakage(Github敏感信息泄露)...
GSIL(GitHub Sensitive Information Leak) Monitor Github sensitive information leaks in near real time ...
- 推荐一款 GitHub 星标 11.5K 的神器,可将任何设备转换为电脑辅助屏幕
公众号关注 「奇妙的 Linux 世界」 设为「星标」,每天带你玩转 Linux ! 今天,分享一个神器:deskreen,它可以将将任何设备转换为计算机的辅助屏幕,目前已经在 Github 上标星 ...
- 好用的linux终端工具,推荐7款好用的终端工具
原标题:推荐7款好用的终端工具 来源 | HelloCoder作者 | HaC1.Cmder 下载地址:https://cmder.net/ Cmder是一个代替cmd的终端工具.只能操作Window ...
最新文章
- pyQt 每日一练习 -- 登录框
- 操作系统就是一个“死循环”?
- 详解“FTP文件传输服务”安装配置实例
- go mongodb排序查询_「赵强老师」MongoDB中的索引(下)
- python传参_Python的赋值和传参
- linux内核spi总线驱动分析,Linux下的SPI总线驱动(三)
- QuickTime Player 如何开启倍速播放?
- [C#] DBNull、Null和String.Empty的区别
- tomcat体系结构
- 【网络营销】CPA、CPS、CPM、CPT、CPC 是什么
- Codeforces Round #741 (Div. 2) A. The Miracle and the Sleeper
- Java学历很重要_Java开发找工作,学历重要还是技术重要?
- Python怎么安装?教程来咯
- Windows10系统goland代码跳转ctrl + alt +←或→箭头快捷键无效
- Java的学习道路(一)
- Ubuntu 笔记本 麦克风无声音解决方法
- 芯片相关介绍—— 一文打尽基本概念
- html制作开心餐厅,二次元少女开心餐厅
- RabbitMQ问题排解
- mysql安装包含哪几种文件_MySQL安装详解