介绍

GitHub敏感信息泄露一直是企业信息泄露和知识产权泄露的重灾区,安全意识薄弱的同事经常会将公司的代码、各种服务的账户等极度敏感的信息『开源』到github中;利用github搜索关键词,或者结合特定语法来使用,效果更佳

[!TIP]

一般搜索以域名、特殊JS路径、备案、网站的技术支持等关键内容为主,不要局限于域名

高级搜索:https://github.com/search/advanced

如搜索包含 aliyuncspassword 的代码

aliyuncs password

image-20211227151723472

一些语法

参考自:https://github.com/obheda12/GitDorker/tree/master/Dorks

EsW1D-cXEAAhrFT

所有语法txt版


自己总结的small版

"token"
"password"
"secret"
"passwd"
"username"
"key"
"apidocs"
"appspot"
"auth"
"aws_access"
"config"
"credentials"
"dbuser"
"ftp"
"login"
"mailchimp"
"mailgun"
"mysql"
"pass"
"pem private"
"prod"
"pwd"
"secure"
"ssh"
"staging"
"stg"
"stripe"
"swagger"
"testuser"
"jdbc"

推荐工具

查询过程也是重复性工作,可以借助工具来进行查找

[!DANGER]

工具毕竟是死板的,最好还是人工+工具一起

gitdorks_go

https://github.com/damit5/gitdorks_go

一款在github上发现敏感信息的自动化收集工具

效果图

其他代码平台

Copyright © d4m1ts 2023 all right reserved,powered by Gitbook该文章修订时间: 2022-11-17 14:08:25

results matching ""

    No results matching ""