介绍
GitHub敏感信息泄露一直是企业信息泄露和知识产权泄露的重灾区,安全意识薄弱的同事经常会将公司的代码、各种服务的账户等极度敏感的信息『开源』到github中;利用github搜索关键词,或者结合特定语法来使用,效果更佳
[!TIP]
一般搜索以域名、特殊JS路径、备案、网站的技术支持等关键内容为主,不要局限于域名
高级搜索:https://github.com/search/advanced
如搜索包含 aliyuncs
和 password
的代码
aliyuncs password
一些语法
参考自:https://github.com/obheda12/GitDorker/tree/master/Dorks
所有语法txt版
自己总结的small版
"token"
"password"
"secret"
"passwd"
"username"
"key"
"apidocs"
"appspot"
"auth"
"aws_access"
"config"
"credentials"
"dbuser"
"ftp"
"login"
"mailchimp"
"mailgun"
"mysql"
"pass"
"pem private"
"prod"
"pwd"
"secure"
"ssh"
"staging"
"stg"
"stripe"
"swagger"
"testuser"
"jdbc"
推荐工具
查询过程也是重复性工作,可以借助工具来进行查找
[!DANGER]
工具毕竟是死板的,最好还是人工+工具一起
gitdorks_go
一款在github上发现敏感信息的自动化收集工具
其他代码平台
GitLab: https://about.gitlab.com/
gitee: https://gitee.com/