truffle hog可以在源代碼存儲庫内找到20個字元或以上的通路令牌和密鑰
安全研究人員開發了一種新工具,這一工具可以自動檢測軟體項目中已被寫死的敏感通路密鑰。
軟體項目各類服務裡的寫死通路令牌是公認的安全風險,黑客不需費太多力氣便可擷取。而且這種情況很常見。
2014年,一名研究者發現github的可公開通路代碼中遺留有近萬的亞馬遜的網絡服務和彈性計算雲的通路密鑰。亞馬遜自此開始搜尋并清除github中此類密鑰。
2015年,detectify的研究人員在github項目中發現了1500個開發人員寫死産生的slack令牌,其中很多令牌洩露了團隊在slack上的内部共享的聊天曆史、檔案、私人資訊等敏感資料。
2015年,位于德國達姆施塔特的工業大學和弗勞恩霍夫資訊安全研究所主持了一項研究,研究發現了存儲在android和ios應用程式裡的超過1000個後端即服務(baas)架構的通路憑證。通過這些憑證可以獲得1850萬條記錄,其中包括存儲在facebook parse、cloudmine或亞馬遜網絡服務等baas提供商的5600萬資料項。
艾雷描述truffle hog時說,該工具将深入挖掘一個項目的送出曆史和分支。它會評估為每一個使用base64編碼和16進制所表示的大于20字元的字元串的香農熵。
該工具可在github上下載下傳,運作時需要加載gitpython庫。公司和獨立開發者可以趕在黑客之前,用它來檢查自己的軟體項目。
本文轉自d1net(轉載)
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)