介绍
GitHub敏感信息泄露一直是企业信息泄露和知识产权泄露的重灾区,安全意识薄弱的同事经常会将公司的代码、各种服务的账户等极度敏感的信息『开源』到github中;利用github搜索关键词,或者结合特定语法来使用,效果更佳
[!TIP] 一般搜索以域名、特殊JS路径、备案、网站的技术支持等关键内容为主,不要局限于域名
高级搜索:https://github.com/search/advanced
如搜索包含 aliyuncs 和 password 的代码
aliyuncs password
一些语法
参考自:https://github.com/obheda12/GitDorker/tree/master/Dorks
所有语法txt版
自己总结的small版
"token""password""secret""passwd""username""key""apidocs""appspot""auth""aws_access""config""credentials""dbuser""ftp""login""mailchimp""mailgun""mysql""pass""pem private""prod""pwd""secure""ssh""staging""stg""stripe""swagger""testuser""jdbc"
推荐工具
查询过程也是重复性工作,可以借助工具来进行查找
[!DANGER] 工具毕竟是死板的,最好还是人工+工具一起
GitDorker
GitDorker 是一款github自动信息收集工具,它利用 GitHub 搜索 API 和作者从各种来源编译的大量 GitHub dorks 列表,以提供给定搜索查询的 github 上存储的敏感信息的概述。
其他平台
GitLab: https://about.gitlab.com/
gitee: https://gitee.com/
若有收获,就点个赞吧
0 人点赞
