此工具可以帮助清除软件项目中的硬编码密钥,灰鸽子下载,远程控制软件

admin

此工具可以帮助清除软件项目中的硬编码密钥,灰鸽子下载,远程控制软件
Truffle Hog可以在源代码存储库中找到20个字符或更长的访问令牌和密钥

huigezi

安全研究人员已经开发了一种工具，可以自动检测在软件项目中硬编码的敏感访问密钥。

Truffle Hog工具由美国研究员Dylan Ayrey创建，用Python编写。它通过扫描深入git代码存储库中的20个或更多字符并且具有高熵的字符串来搜索硬编码的访问密钥。以美国数学家Claude E. Shannon命名的高香农熵将建议一个随机性水平，使其成为加密秘密的候选者，如访问令牌。

用于软件项目中的各种服务的硬编码访问令牌被认为是安全风险，因为这些令牌可以被黑客提取而无需太多的努力。不幸的是这种做法很常见。

在2014年，一名研究人员在GitHub的公开访问代码中发现了大约10,000个用于Amazon Web Services和弹性计算云的访问密钥。亚马逊已经开始扫描GitHub这样的密钥本身和撤销它们。

去年Detectify的研究人员发现1,500个Slack令牌由开发人员硬编码到GitHub项目，其中许多提供访问聊天，文件，私人消息和其他在Slack团队中共享的敏感数据。

2015年，技术大学和德国达姆施塔特的Fraunhofer安全信息技术研究所的研究人员进行的一项研究揭示了存储在Android和iOS应用程序中的后端即服务（BaaS）框架的超过1,000个访问凭据。这些凭据解锁了超过1850万条记录，其中包含存储在BaaS提供商（如Facebook自有的Parse，CloudMine或Amazon Web Services）上的5600万个数据项。

Truffle Hog深入挖掘项目的提交历史和分支。它将评估Shannon熵，对于每个大于20个字符的文本的blob，base64和十六进制字符集，Ayrey在项目的描述中说。

该工具在GitHub上可用，需要运行GitPython库。公司和独立开发人员可以使用它来扫描自己的软件项目，黑客这样做。