灰鸽子远程控制软件

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 13393|回复: 0

此工具可以帮助清除软件项目中的硬编码密钥,灰鸽子下载,远程控制软件

[复制链接]
发表于 2017-1-10 12:20:04 | 显示全部楼层 |阅读模式
此工具可以帮助清除软件项目中的硬编码密钥,灰鸽子下载,远程控制软件
Truffle Hog可以在源代码存储库中找到20个字符或更长的访问令牌和密钥

huigezi

huigezi

安全研究人员已经开发了一种工具,可以自动检测在软件项目中硬编码的敏感访问密钥。

Truffle Hog工具由美国研究员Dylan Ayrey创建,用Python编写。它通过扫描深入git代码存储库中的20个或更多字符并且具有高熵的字符串来搜索硬编码的访问密钥。以美国数学家Claude E. Shannon命名的高香农熵将建议一个随机性水平,使其成为加密秘密的候选者,如访问令牌。

用于软件项目中的各种服务的硬编码访问令牌被认为是安全风险,因为这些令牌可以被黑客提取而无需太多的努力。不幸的是这种做法很常见。

在2014年,一名研究人员在GitHub的公开访问代码中发现了大约10,000个用于Amazon Web Services和弹性计算云的访问密钥。亚马逊已经开始扫描GitHub这样的密钥本身和撤销它们。

去年Detectify的研究人员发现1,500个Slack令牌由开发人员硬编码到GitHub项目,其中许多提供访问聊天,文件,私人消息和其他在Slack团队中共享的敏感数据。

2015年,技术大学和德国达姆施塔特的Fraunhofer安全信息技术研究所的研究人员进行的一项研究揭示了存储在Android和iOS应用程序中的后端即服务(BaaS)框架的超过1,000个访问凭据。这些凭据解锁了超过1850万条记录,其中包含存储在BaaS提供商(如Facebook自有的Parse,CloudMine或Amazon Web Services)上的5600万个数据项。

Truffle Hog深入挖掘项目的提交历史和分支。它将评估Shannon熵,对于每个大于20个字符的文本的blob,base64和十六进制字符集,Ayrey在项目的描述中说。

该工具在GitHub上可用,需要运行GitPython库。公司和独立开发人员可以使用它来扫描自己的软件项目,黑客这样做。

评帖赚银币(0) 收起
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|灰鸽子远程控制软件|灰鸽子远程控制软件 ( 鲁ICP备14000061号-4 )

GMT+8, 2024-11-1 19:23 , Processed in 0.088403 second(s), 25 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表