1.1. 介绍

GitHub敏感信息泄露一直是企业信息泄露和知识产权泄露的重灾区,安全意识薄弱的同事经常会将公司的代码、各种服务的账户等极度敏感的信息『开源』到github中;利用github搜索关键词,或者结合特定语法来使用,效果更佳

[!TIP]

一般搜索以域名、特殊JS路径、备案、网站的技术支持等关键内容为主,不要局限于域名

高级搜索:https://github.com/search/advanced

如搜索包含 aliyuncspassword 的代码

aliyuncs password

image-20211227151723472

1.2. 一些语法

参考自:https://github.com/obheda12/GitDorker/tree/master/Dorks

EsW1D-cXEAAhrFT

所有语法txt版


自己总结的small版

"token"
"password"
"secret"
"passwd"
"username"
"key"
"apidocs"
"appspot"
"auth"
"aws_access"
"config"
"credentials"
"dbuser"
"ftp"
"login"
"mailchimp"
"mailgun"
"mysql"
"pass"
"pem private"
"prod"
"pwd"
"secure"
"ssh"
"staging"
"stg"
"stripe"
"swagger"
"testuser"
"jdbc"

1.3. 推荐工具

查询过程也是重复性工作,可以借助工具来进行查找

[!DANGER]

工具毕竟是死板的,最好还是人工+工具一起

1.3.1. GitDorker

https://github.com/obheda12/GitDorker

GitDorker 是一款github自动信息收集工具,它利用 GitHub 搜索 API 和作者从各种来源编译的大量 GitHub dorks 列表,以提供给定搜索查询的 github 上存储的敏感信息的概述。

image-20220106103255097

1.4. 其他平台

GitLab: https://about.gitlab.com/

gitee: https://gitee.com/

Copyright © d4m1ts 2022 all right reserved,powered by Gitbook该文章修订时间: 2022-01-06 14:48:15

results matching ""

    No results matching ""