如何利用GitHub搜索敏感信息
背景:最近總是能聽到同事說在GitHub上搜到某個敏感信息,然後利用該信息成功的檢測並發現某個漏洞,最後提交到對應的SRC(安全應急響應中心)換點money。頓時心裏那個羨慕啊,然後就心說自己也要學會使用GitHub這個寶藏。 開始:眾所周知,作為安全人員,學會使用google hack是最基本的一項技能。那麽什麽是google hack呢?google hack其實就是一系列的命令語法,這些命令語法可以用來快速的搜索敏感網站,關鍵字等信息。比如使用:inurl:XXXX;intext:XXXX;等等。看到這裏估計很多人會思考,那GitHub有沒有相關的語法命令呢?其實在學習之前,我也不清楚是否存在,但是在研究以後,我發現原來GitHub也有屬於自己的命令語法可以用來快速方便的搜索敏感信息。接下來就帶大家一起學習一下相關的命令語法。 1.q+關鍵字我們通常情況下在GitHub上搜索是這樣的形式,例如在搜索處輸入hundsun,可以成功的搜索出一些項目信息,如圖1所示。觀察一下可以看到這裏的url是這樣的: https://github.com/search?utf8=%E2%9C%93&q=aliyuncs&type=;q對應的正是要搜索的關鍵字。type指定搜索結果展示的類型,分為Repositories,Code,Commits,Issues,Marketplace,Topics,Wikis,Users。默認搜索結果是以項目名的形式展示,從圖1中可以看到。如果需要其他模式可以自己選擇。
|
如何利用GitHub搜索敏感信息