סריקת מידע רגיש בגיטהאב
הפלטפורמה של גיטהאב מכילה מידע עצום ומיליוני מפתחים ומשתמשים בעולם משתפים מידע והרבה קוד, ובגיטהאב ישנם Repo ציבוריים, פרטים וגם של ארגונים.
לגיטהאב ישנם יתרונות רבים אך לצד היתרונות ישנם מצבים שבהם מפתחים משתפים מידע רגיש כדוגמת פרטי הזדהות, סיסמאות מערכת, קוד גישה של AWS ומלא מידע נוסף.
מחיקת המידע לעיתים לא נעשית בצורה הנכונה וגם לאחר מחיקה ניתן להוציא מידע, ובכדי להימנע ממצבים כאלה פשוט לא להעלות מידע!
טעויות אנוש מתרחשים בכל עת ולכן במצבים בהם המידע אינו מוצפן או מוקשח לפי המלצות, כל אותם מפתחים תמיד ישתפו מידע רגיש בדרך כזאת או אחרת.
כלים קיימים לחיפוש מידע רגיש
ישנם דרכים שונות לחפש מידע רגיש בתשתית גיטהאב, בין היתר:
Gittyleaks המבוסס על פייתון ומחפש מידע כדוגמת זהויות, סיסמאות, כתובות דואר וכן הלאה.
Git Secrets אשר פותח ע"י AWS Labs ומטרתו למצוא מידע כדוגמת AWS Key.
Repo Supervisor לחיפוש אחר מיסקונפיגורציה, סיסמאות וכן הלאה.
בנוסף לכך אפשר לעבוד עם PowerShell בכדי לתשאל את GitHub Search API ולחפש מילות מפתח שונות, החל מסיסמאות, זהויות, Repo, מפתחות הצפנה וכל מה שעולה בדימיון.
חיפוש מידע באמצעות PowerShell
בכדי לחפש מידע באמצעות PowerShell נבצע את הפעולות הבאות:
מתוך הממשק של גיטהאב ניצור מפתח ייעודי לביצוע הזדהות באמצעות הסקריפט
בסיום נקח את המפתח ונעתיק אל הסקריפט
לאחר מכן ניצור קובץ טקסט שנקרא SearchItems – בקובץ הזה נוסיף את מילות החיפוש הרלוונטיות, למשל Vault או Password (וכל מה שעולה בדמיון).
הערה: אפשר להוסיף למילות החיפוש מספר רב של מילים אך במצב כזה הסקריפט ירוץ זמן רב.
לאחר מכן נריץ את הסקריפט שירוץ בפרק זמן מסוים ובסיומו נקבל קובץ GithubSearch שיכיל את כל הקישורים הרלוונטיים.
בסיום הקובץ יכיל את כלל הקישורים לפי המבנה הבא
קישור להורדת הסקריפט https://github.com/eshlomo1/Generic/blob/master/Search_GitHub
לסיכום
הפלטפורמה של גיטהאב מכילה כמות עצומה של מידע אשר בחלקו רגיש ולעיתים רבות איננו מוגן כנדרש, ולכן אין צורך להיות האקר מיומן בכדי למצוא מידע רגיש ובעל ערך וכל שצריך לבצע הוא חיפוש עם הכלים הנכונים.
אקב, באמצעות הסקריפט ניתן לחפש כל סוג מידע ולא בהכרח מידע רגיש.
מעולה תודה