博客
关于我
信息漏洞知识总结(二)
阅读量:767 次
发布时间:2019-03-24

本文共 1605 字,大约阅读时间需要 5 分钟。

Git泄露的潜在风险及应对措施

当前,Git 成为前沿开发的版本控制工具,其简单易用的特性使其在项目部署中无处不在。然而,Git 的配置不当可能导致敏感信息泄露,给组织带来严重影响。本文将深入探讨 Git 泄露的常见原因及应对方案。

1. Log信息泄露:最常见的安全隐患

Git repositories 中存储了开发过程中所有操作的日志信息。这些日志中包含 commit 操作、作者信息、修改时间等敏感数据。如果仓库被攻击者获取,可能会挖掘出大量内部开发人员的信息。

1.1 怎样防止 Git Log 信息泄露?

配置 Git 时,推荐开启 git config --global’千面仓的全局忽略规则,这样可以严格控制哪些文件会被保存为 commit 操作的一部分。举例来说:

git config --global commit.guessIgnoreSupported truegit config --global index.ignore/***************************************************************************

此外,建议定期清理旧的 Git 分支和对象存储。使用以下命令可快速清理不必要的 objects:

git gcgit prune

要确保只能通过 HTTPS 协议克隆仓库,禁用 SSH 访问:

git config --global remote.origin.url https://github.com/user/repo.gitgit config --global remote.origin.fetch https

2. 利用工具检测 Git 账户泄露

为了快速检测潜在的安全漏洞,可以使用一些开源工具来扫描 Git 仓库中的可疑账户。以下是常用的工具及其操作步骤:

2.1 dirsearch工具:简单高效的 Git 情报挖掘工具

dirsearch 是一种基于 Python 的开源工具,专门用于对 Git 仓库中隐藏的账户信息进行快速检测。其优势在于支持多线程操作,能够大幅提升扫描效率。

####oolkit 安装与使用

  • 克隆工具源代码:
  • git clone https://github.com/maurosoria/dirsearch
    1. 执行扫描命令(以下均为命令行终端执行):
    2. python3 dirsearch.py -u https://github.com/maurosoria/dirsearch -e *

      大小写参数 -u 表示指定工具的更新地址,-e * 表示开启全局搜索模式。

      2.2 GitHack:多功能 Git 情报挖掘工具

      GitHub 上另一个值得注意的工具是 GitHack。它支持多种协议扫描,能够在短时间内发现大量的管理员账户。

      ####oolkit 安装与使用

    3. 克隆工具代码库:
    4. git clone https://github.com/BugScanTeam/GitHack
      1. 执行扫描命令:
      2. python GitHack.py https://github.com/user/user.git

        运行后,建议将结果目录预览所有发现账户。如需进一步处理,可以使用以下命令清理所有本地缓存:

        git reset --hardlscat .

        3. 注意事项及最佳实践

      3. 定期审查 借口 信息:即使是最安全的仓库,也要定期复盘 commit history。
      4. 强制 HTTPS:在所有开发者机器上禁用 defencealbums 格ूरत的账户授权。
      5. 部署 Webhooks:在危机情况下,可以自动清理仓库中的敏感信息。
      6. 培训团队成员:确保所有开发人员了解 Git 泄露的风险及防范措施。
      7. 通过以上方法,可以有效降低 Git 泄露风险,保障团队内部信息的安全。

    转载地址:http://ztakk.baihongyu.com/

    你可能感兴趣的文章
    Mysql学习总结(70)——MySQL 优化实施方案
    查看>>
    Mysql学习总结(71)——MySQL 重复记录查询与删除总结
    查看>>
    Mysql学习总结(71)——数据库介绍(MySQL安装 体系结构、基本管理)再回顾
    查看>>
    Mysql学习总结(73)——MySQL 查询A表存在B表不存在的数据SQL总结
    查看>>
    Mysql学习总结(76)——MySQL执行计划(explain)结果含义总结
    查看>>
    Mysql学习总结(77)——温故Mysql数据库开发核心原则与规范
    查看>>
    Mysql学习总结(78)——MySQL各版本差异整理
    查看>>
    Mysql学习总结(79)——MySQL常用函数总结
    查看>>
    Mysql学习总结(7)——MySql索引原理与使用大全
    查看>>
    Mysql学习总结(80)——统计数据库的总记录数和库中各个表的数据量
    查看>>
    Mysql学习总结(81)——为什么MySQL不推荐使用uuid或者雪花id作为主键?
    查看>>
    Mysql学习总结(82)——MySQL逻辑删除与数据库唯一性约束如何解决?
    查看>>
    Mysql学习总结(83)——常用的几种分布式锁:ZK分布式锁、Redis分布式锁、数据库分布式锁、基于JDK的分布式锁方案对比总结
    查看>>
    Mysql学习总结(84)—— Mysql的主从复制延迟问题总结
    查看>>
    Mysql学习总结(85)——开发人员最应该明白的数据库设计原则
    查看>>
    Mysql学习总结(8)——MySql基本查询、连接查询、子查询、正则表达查询讲解
    查看>>
    Mysql学习总结(9)——MySql视图原理讲解与使用大全
    查看>>
    MySQL学习笔记十七:复制特性
    查看>>
    Mysql学习第一课-mysql的定义及sql语句
    查看>>
    mysql安全模式: sql_safe_updates
    查看>>