安全矩阵

 找回密码
 立即注册
搜索
查看: 692|回复: 0

利用 GitHub 最大化你的漏洞数量

[复制链接]

417

主题

417

帖子

2391

积分

金牌会员

Rank: 6Rank: 6

积分
2391
发表于 2023-5-6 12:20:21 | 显示全部楼层 |阅读模式
本帖最后由 ivi 于 2023-5-6 12:24 编辑

迪哥讲事 2023-05-04 23:52 发表于江苏

背景介绍:

对于漏洞赏金猎人,GitHub 存储库可以发现各种有用的信息,并不是只有开源目标才会出现问题,有时,企业/组织成员及其开源计划会错误地披露可用于对付目标公司的信息。本文将为你提供各种扫描 GitHub 存储库中敏感信息的方法和工具,以助你最大化发现漏洞。


最大化Cloning:

你完全可以只在 github.com 网站上进行研究,但是为了更好的进行本地测试,建议克隆每个目标库。@mazen160 的 GitHubCloner 就是一个很棒的工具。它用起来非常简单:

  1. $ python githubcloner.py --org organization -o /tmp/output
复制代码

静态分析
在开始静态分析之前,真正理解目标项目至关重要。白帽 @Jobert 会建议在寻找漏洞之前应对目标有很好的了解。

人工分析:
“learn to make it, then break it”这句话适用于人工分析。如果你能学习一门编程语言,你就能够理解要采取和避免的安全预防措施。

一旦熟悉了目标及其架构,就可以开始寻找感兴趣、熟悉或知道开发人员经常出错的关键字。

以下是在第一次‘泛泛’寻找期间使用的一些搜索词的基本列表:
  1. API and key. (Get some more endpoints and find API keys.)
  2. token
  3. secret
  4. TODO
  5. password
  6. vulnerable ????
  7. http:// & https://
复制代码

另外还会关注:
  1. CSRF
  2. random
  3. hash
  4. MD5, SHA-1, SHA-2, etc.
  5. HMAC
复制代码




当你习惯了某些漏洞类型时,就会确切地知道在特定语言中寻找什么,例如,当在 Java 中寻找时序泄漏时,我知道 Arrays.equals() 和 HMAC 会共同导致该漏洞。

另一个关键步骤是查看提交历史记录,你会从这些历史提交中收集到的信息量感到惊讶。我曾见过贡献者错误地认为他们已经删除了凭据,而他们仍在提交历史记录中。由于 git 的历史,我发现了仍在运行的古老端点。



工具:

在执行 Python 项目时使用的主要工具是 Bandit
Bandit 会识别常见问题,但也会返回误报结果。所以请谨慎使用。
  1. $ bandit -r path/to/your/code -ll
复制代码


如果你想在项目中查找过时的 Python 模块,请将 requirements.txt 的内容粘贴到 https://pyup.io/tools/requirements-checker/ 中,这将显示指定版本的模块中是否存在任何安全问题。
Snyk.io 是一个用于检查依赖项的出色工具,该平台支持多种语言。


对于信息侦察,许多研究人员建议使用 Gitrob,此工具将在公共 GitHub 存储库中查找敏感信息。

  1. $ gitrob analyze acme,johndoe,janedoe
复制代码

要查找API 密钥、令牌、密码等字符串,可以使用 truffleHog。
  1. $ truffleHog https://github.com/dxa4481/truffleHog.git
复制代码
如果你正在寻找一个一体化的查找器,@anshuman_bh 的 git-all-secrets 是款适合的工具。该工具将多个开源敏感信息查找器组合成一个大工具。对于 Ruby on Rails 应用程序,推荐 Brakeman。Brakeman 是一个静态分析安全扫描器,可以在代码中发现大量的各种安全问题。 另外使用 Gerben Javado 的 LinkFinder 在存储库的 JS 文件中查找端点。

  1. $ python linkfinder.py -i 'path/to/your/code/*.js' -r ^/api/ -o cli
复制代码


报告你的发现:
当涉及到漏洞赏金时,请仔细阅读目标赏金计划的政策,很少有程序通过 GitHub 接受报告,请联系安全团队,或者使用漏洞赏金平台,例如 HackerOne 或 BugCrowd

顺带说一句,白盒审计的一个很酷的事情,由于你可以访问代码,因此能够更容易地提出修复建议或提交补丁。加油吧,骚年~ ????




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 15:47 , Processed in 0.014223 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表