【漏洞挖掘】——58、GitHub信息泄露

已于 2024-06-07 16:05:40 修改
阅读量1.1k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 【WEB渗透】 文章标签: Web渗透测试 渗透测试 信息泄露 网络安全 信息安全
于 2023-10-20 17:53:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/133951554
本文探讨了GitHub信息泄露的原因,如访问控制不当、恶意攻击和公共仓库,列举了邮箱信息和数据连接等实例,并提供了GSIL等工具进行漏洞利用检测。修复措施包括更改敏感信息、审查代码、调整访问权限和撤销提交。
漏洞简介

GitHub是一个非常流行的代码托管和版本控制平台,许多组织和开发者使用它来托管和分享代码,如果GitHub的安全措施不当或用户不小心可能会导致GitHub信息泄露的问题,以下是一些可能导致GitHub信息泄露的原因

  • 访问控制:如果用户错误地设置了GitHub仓库的访问控制,可能会导致未授权的用户或机器人访问敏感信息
  • 恶意攻击:黑客可以使用各种手段,例如钓鱼攻击和社交工程攻击,来获得GitHub用户的凭据并访问其仓库
  • 公共仓库:如果用户将代码存储在公共的GitHub仓库中,则其他人可以查看和下载该代码,包括敏感信息,例如密码、API密钥和凭据等
  • 代码提交:如果用户不小心将敏感信息提交到GitHub仓库中,其他人就可以查看敏感信息的历史记录,即使用户后来将敏感信息从仓库中删除
漏洞利用
邮箱信息

smtp @qq.com
mtp @126.com
smtp @163.com
smtp @sina.com.cn
smtp @sina.com.cn password

例如:https://github.com/search?q=smtp+user+@qq.com&type=code

数据连接
了解本专栏 订阅专栏 解锁全文
漏洞挖掘】——60、SVN信息泄露漏洞检测利用
Fly_鹏程万里
10-20 2186
SVN是一个开放源代码的版本控制系统,在使用SVN管理本地代码过程中会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息,网站管理员在发布代码时如果没有使用导出功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,可以利用.svn/entries文件获取到服务器源码。
0day漏洞挖掘实战
悦分享
10-04 352
阅读代码可知,ebp-98h存储的是一个已经释放的元素的Pointer,但是代码未经校验就把这个地址传给了CMarkupPointer的构造函数,而且由此生成了一个指向空元素的CMarkupPointer*。由于栈的空间是有限的,而函数在调用时会将返回地址、参数、局部变量等内容写入栈空间,一旦函数出现了过多层数的函数调用(一个容易理解且典型的例子便是递归时出现死循环),那么栈空间便会在短时间内耗尽,并抛出0xc00000fd栈溢出错误。但是由于这段代码结构简单,含义明确,因此可以作为一个较好的练手代码。
github-dorks:通过github搜索找到泄露的秘密
02-03
Github Dorks 是一个非常强大且有用的功能,可用于在存储库中搜索敏感数据。 Github服务对象的集合可以揭示敏感的个人和/或组织信息,例如私钥,凭据,身份验证令牌等。此列表应该用于评估系统的安全性和进行笔测试。 GitHub Dork搜索工具 是一个简单的python工具,可以搜索您的存储库或组织/用户存储库。 目前,它并不是一个完美的工具,但提供了基本功能,可以根据文本文件中指定的代码自动在存储库中进行搜索。 安装 该工具使用与GitHub Search API进行通信。 克隆此存储库并运行: pip install -r requirements.txt 用法 GH_USER - Environment variable to specify Github user GH_PWD - Environment variable to specify password GH_TOKEN - Environment variable to specify Github token GH_URL - Environment variable to specify
GitHub 源代码被泄露了...
静觅
11-08 1150
“ 阅读本文大概需要 4 分钟。 ” 来自量子位GitHub 忽然 “开源” 了自己代码的一部分,还将它放在了 GitHub 上。事件起因是这样的:TypeScript 的开发者 Res...
03-7-github信息泄露
最新发布
xingchenxizhu的博客
11-30 1082
GitHub信息泄露是一个严重的问题,它通常发生在开发者无意中将含有敏感信息的代码上传到GitHub的公共仓库时。这可能是由于缺乏安全意识或在代码提交过程中未能正确管理和移除敏感文件。一旦这些信息被公开,就可能被恶意用户利用,导致数据泄露、服务中断、经济损失等严重后果。GitHub-Monitor是一个由vipkid安全研发团队打造的系统,专门用于监控GitHub代码仓库,以及时发现企业内部代码泄露,降低安全风险。该系统具备以下特点:分钟级监控:能够快速发现代码泄露情况。
GitHub代码泄露监控
所罗门,老娘回来了
07-22 2017
GitHub作为开源代码平台,给程序员提供了交流学习的很多便利,但如果使用不当,比如将包含了账号密码、密钥等配置文件的代码上传了,导致攻击者能发现并进一步利用这些泄露的信息,就需要安全人员介入
网络信息安全GitHub敏感信息泄露监控-徐庆臣(黑客洗白者)
清晨码农的专栏
09-05 959
结合管理和技术手段杜绝GitHub敏感信息泄露问题,做到近实时监控预警。分享开发GitHub敏感信息监控过程中的特征采集、最佳告警响应方式、误报规则类型、漏报处理思路以及整体GitHub敏感信息泄露的现状等等一些经验。
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1573
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
Graph Mining for Cybersecurity: A Survey——网络安全挖掘:一项调查——全文翻译
qq_46063079的博客
06-03 1748
Graph Mining for Cybersecurity: A Survey网络安全图形挖掘:一项调查
敏感信息泄露搜索之GitHub
qq_60115503的博客
05-12 2984
众所周知,当今是大数据时代,大规模数据泄露事情一直在发生,从未停止过,但有些人不知道的是很多时候一些敏感信息的泄露其实是我们自己无意中造成的,然而一个小疏忽,往往却造成一系列连锁反应…… Github上敏感信息的泄露,就是一个典型的例子,Github虽然方便开发者,但其中也埋藏着一些安全隐患。
Github-Monitor:Github敏感信息泄漏监控器(Github信息泄漏监控系统)
02-06
VIPKID GITHUB显示器 GITHUB MONITOR是vipkid安全研发团队打造的用于监控Github代码仓库的系统。通过该系统可以及时发现企业内部代码位置,从而降低由代码导致的一系列安全风险。用户仅需通过简单的任务配置,即可在分钟级发现代码引发的情况。项目部署使用开发,前端使用和开发。 系统特点 分钟级监控 简单且灵活的任务配置 邮件提醒 github令牌管理 支持docker一键部署 运行十分稳定 安装指南 首先将代码clone到本地: git clone https://github.com/VKSRC/Github-Monitor.git 1. docker部署 我们
Python-近实时监控Github敏感信息泄露并发送告警通知
08-10
Github Sensitive Information Leakage(Github敏感信息泄露
Python-一款精简版github信息泄露搜集工具
08-10
一款精简版github信息泄露搜集工具
谈一谈 github 泄露
m0_57836225的博客
10-17 1199
Git 信息泄露是一个严重的问题,可能会给企业带来巨大的损失。通过加强员工培训、提高安全意识、采用技术手段防范和加强监测与应对措施,以及从攻击者和防守者角度考虑技术实现思路,可以有效预防和减少 Git 信息泄露的发生。企业应高度重视 Git 的安全使用,保障自身的信息安全
GitHub:我开源我自己;CEO:不存在的
weixin_36896856的博客
11-07 321
点击上方“AI遇见机器学习”,选择“星标”公众号重磅干货,第一时间送达萧箫 发自 凹非寺 量子位 报道 | 公众号 QbitAIGitHub忽然“开源”了自己代码的一部分,还将它放在了G...
基于机器学习的GitHub敏感信息泄露监控
datayx的文章
12-01 1667
向AI转型的程序员都关注了这个号????????????机器学习AI算法工程 公众号:datayx现在很多公司都会面临,内部敏感信息,比如代码,内部系统服务器地址,账号,密码等等泄露到GitHub上的风...
GitHub 信息泄露:攻防视角下的安全隐患与应对措施
m0_57836225的博客
10-21 994
无论是开发者个人还是企业,都应该充分认识到其潜在的安全隐患,并从攻击者和防御者的角度出发,采取相应的措施来保护敏感信息。通过提高开发人员的安全意识、建立自动化扫描机制以及完善管理制度等多种方式,共同维护 GitHub 平台的信息安全GitHub 作为全球最大的代码托管平台和开源协作社区,对开发者来说是一个极其重要的工具。它提供了代码托管、学习开源项目、多人协作以及搭建各种网站等多种功能。然而,在给开发者带来便利的同时,也存在一系列安全隐患,尤其是信息泄露问题,这可能对企业和开发者自身造成严重的影响。
信息收集二Github漏洞与泄露
K
10-11 562
现在我们已经建立了我们范围的资产清单,是时候寻找一些容易获得的 OSINT 成果了。
【攻防演练】Github信息泄漏的分析溯源过程
HBohan的博客
04-30 1537
在某次攻防演练信息收集的过程中,偶然发现伪装Github信息泄漏进而钓鱼红队人员的后门。 下面展开有趣的分析溯源过程。 信息收集 GIthub信息泄漏 根据甲方信息进行 常规的Github敏感信息收集偶然发现一个仓库不简单 这不是mysql账号密码泄漏了吗,愉快的打开Navicat 失败…于是访问源码的8080端口查看一番,发现一个管理后台 弱口令 针对后台尝试一波弱口令,admin/admin 嗯~进来了 进来之后竟然发现账号密码而且客户端解压密码都贴心的放了出来 到这里我竟然没有察觉到任何.
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值