|
此工具可以帮助清除软件项目中的硬编码密钥,灰鸽子下载,远程控制软件
Truffle Hog可以在源代码存储库中找到20个字符或更长的访问令牌和密钥
huigezi
安全研究人员已经开发了一种工具,可以自动检测在软件项目中硬编码的敏感访问密钥。
Truffle Hog工具由美国研究员Dylan Ayrey创建,用Python编写。它通过扫描深入git代码存储库中的20个或更多字符并且具有高熵的字符串来搜索硬编码的访问密钥。以美国数学家Claude E. Shannon命名的高香农熵将建议一个随机性水平,使其成为加密秘密的候选者,如访问令牌。
用于软件项目中的各种服务的硬编码访问令牌被认为是安全风险,因为这些令牌可以被黑客提取而无需太多的努力。不幸的是这种做法很常见。
在2014年,一名研究人员在GitHub的公开访问代码中发现了大约10,000个用于Amazon Web Services和弹性计算云的访问密钥。亚马逊已经开始扫描GitHub这样的密钥本身和撤销它们。
去年Detectify的研究人员发现1,500个Slack令牌由开发人员硬编码到GitHub项目,其中许多提供访问聊天,文件,私人消息和其他在Slack团队中共享的敏感数据。
2015年,技术大学和德国达姆施塔特的Fraunhofer安全信息技术研究所的研究人员进行的一项研究揭示了存储在Android和iOS应用程序中的后端即服务(BaaS)框架的超过1,000个访问凭据。这些凭据解锁了超过1850万条记录,其中包含存储在BaaS提供商(如Facebook自有的Parse,CloudMine或Amazon Web Services)上的5600万个数据项。
Truffle Hog深入挖掘项目的提交历史和分支。它将评估Shannon熵,对于每个大于20个字符的文本的blob,base64和十六进制字符集,Ayrey在项目的描述中说。
该工具在GitHub上可用,需要运行GitPython库。公司和独立开发人员可以使用它来扫描自己的软件项目,黑客这样做。
|
|