標籤:

TruffleHog:一款幫助開發者檢測軟體安全性的工具

一款免費開源的工具「TruffleHog」,可以幫助開發人員檢測他們在GitHub上發布的項目是否已經不小心泄漏了任何秘密密鑰。

「TruffleHog」是研究人員Dylan Ayrey發布的一個用來搜索存儲庫的Python工具,可以幫助管理員深入研究GitHub Commits(提交),找到高熵密鑰,從而避免管理員暴露他們的敏感數據。

TruffleHog的工作原理

Ayrey表示,「TruffleHog」通過GitHub存儲庫搜索高熵(high-entropy)字元串,深入挖掘提交歷史(Commit History)和分支(Branch)。他解釋稱,這款工具將定位任何超過20個字元串的高熵密鑰。

該工具可以搜索分支的整個提交歷史,檢查Commit中的每個diff,評估base64字符集的Shannon Entropy。此外,還對blob進行評估(每個大文本超過20個字元,且每個Diff中包含這些字符集)的Shannon Entropy。這款工具能有效找到不小心提交的高熵密鑰。如果檢測到高熵字元串超過20個,將列印到屏幕上。

Reddit用戶在討論TruffleHog時指出,機器人經常通過掃描GitHub尋找AWS密鑰,而這類活動經常會導致大量資產損失。據悉,目前Amazon已經在搜索GitHub AWS密鑰,並會在發現密鑰時暫時關閉相應服務。

該工具的開發者Dylan Ayrey曾因去年的「粘貼劫持(Pastejack)」而出名,他提供了演示視頻,展示了攻擊者運行惡意代碼、清除控制台並附加用戶複製的代碼的全過程。這種攻擊可以使用CSS附加惡意內容至剪貼板,而不必通知用戶,最終誘騙他們執行不需要的終端命令。

目前「TruffleHog」在GitHub中的星數已經超過了700,成為Ayrey繼「Pastejack」之後第二個受歡迎的項目。

安全專家經常警告開發人員,在GitHub上發布項目存在泄漏敏感數據的風險。2013年1月,GitHub推出新的內部搜索功能,可以輕鬆查找密碼、加密密鑰和其它數據。當時,用戶在GitHub上發現了幾千個這樣的隱私數據。

最近,專家警告Slack Bot的開發人員,他們在GitHub上發布Slack訪問令牌,但卻不知不覺地泄漏了敏感數據,包括商業關鍵信息。

註:本文參考來源於securityweek

推薦閱讀:

PowerShell攻防進階篇:nishang工具用法詳解
給你安利這些效率工具 一個比一個好用

TAG:工具 |