TruffleHog:一款幫助開發者檢測軟體安全性的工具
一款免費開源的工具「TruffleHog」,可以幫助開發人員檢測他們在GitHub上發布的項目是否已經不小心泄漏了任何秘密密鑰。
「TruffleHog」是研究人員Dylan Ayrey發布的一個用來搜索存儲庫的Python工具,可以幫助管理員深入研究GitHub Commits(提交),找到高熵密鑰,從而避免管理員暴露他們的敏感數據。
TruffleHog的工作原理
Ayrey表示,「TruffleHog」通過GitHub存儲庫搜索高熵(high-entropy)字元串,深入挖掘提交歷史(Commit History)和分支(Branch)。他解釋稱,這款工具將定位任何超過20個字元串的高熵密鑰。
該工具可以搜索分支的整個提交歷史,檢查Commit中的每個diff,評估base64字符集的Shannon Entropy。此外,還對blob進行評估(每個大文本超過20個字元,且每個Diff中包含這些字符集)的Shannon Entropy。這款工具能有效找到不小心提交的高熵密鑰。如果檢測到高熵字元串超過20個,將列印到屏幕上。
該工具的開發者Dylan Ayrey曾因去年的「粘貼劫持(Pastejack)」而出名,他提供了演示視頻,展示了攻擊者運行惡意代碼、清除控制台並附加用戶複製的代碼的全過程。這種攻擊可以使用CSS附加惡意內容至剪貼板,而不必通知用戶,最終誘騙他們執行不需要的終端命令。
目前「TruffleHog」在GitHub中的星數已經超過了700,成為Ayrey繼「Pastejack」之後第二個受歡迎的項目。
安全專家經常警告開發人員,在GitHub上發布項目存在泄漏敏感數據的風險。2013年1月,GitHub推出新的內部搜索功能,可以輕鬆查找密碼、加密密鑰和其它數據。當時,用戶在GitHub上發現了幾千個這樣的隱私數據。
最近,專家警告Slack Bot的開發人員,他們在GitHub上發布Slack訪問令牌,但卻不知不覺地泄漏了敏感數據,包括商業關鍵信息。
註:本文參考來源於securityweek
推薦閱讀:
※PowerShell攻防進階篇:nishang工具用法詳解
※給你安利這些效率工具 一個比一個好用
TAG:工具 |