diciembre 14, 2020

Encontrar archivos confidenciales en GitHub, Gists, GitLab y BitBucket o en repositorios locales en tiempo real

Comparte en redes sociales

Encontrar secretos en GitHub no es nada nuevo. Hay muchas herramientas excelentes disponibles para ayudar con esto, dependiendo del lado de la cerca en el que se siente. En el lado atacante, las herramientas populares como gitrob y truggleHog se centran en indagar para confirmar el historial para encontrar tokens secretos de repositorios, usuarios u organizaciones específicos. En el lado defensivo, los propios GitHub están escaneando activamente secretos a través de su proyecto de escaneo de tokens. Su objetivo es identificar tokens secretos dentro del código comprometido en tiempo real y notificar al proveedor de servicios que actúe. Entonces, en teoría, si alguna clave secreta de AWS está comprometida con GitHub, Amazon será notificada y la revocará automáticamente.

Shhgit fue desarrollada para crear conciencia y dar vida a la prevalencia de este problema. Espero que GitHub haga más para evitar que los ciberatacantes utilicen el tesoro de información en toda la plataforma. No conozco el funcionamiento interno de su proyecto de escaneo de tokens , pero retrasar la API de alimentación en tiempo real hasta que la canalización se haya completado y presentar SLA a los proveedores parece un paso en la dirección correcta.

Shhgit puede funcionar de dos maneras: consumiendo las API públicas de GitHub, Gist, GitLab y BitBucket o procesando archivos en un directorio local. Por defecto, shhgit se ejecutará en el antiguo ‘modo público’. Para GitHub y Gist, tendrá que obtener y proporcionar un token de acceso (ver esta guía , que no requiere ningún ámbitos o permisos y luego se coloca bajo. github_access_tokensEn config.yaml). GitLab y BitBucket no requieren ningún token API.

También puede renunciar a las firmas y utilizar shhgit con su propia consulta de búsqueda personalizada, por ejemplo, para encontrar todas las claves de AWS que pueda utilizar shhgit --search-query AWS_ACCESS_KEY_ID=AKIA. Y para ejecutar en modo local (y tal vez integrarse en sus pipelines de CI) puede pasar el modificador —local.

Más información y descarga de shhgit:

https://github.com/eth0izzle/shhgit

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: