Githubの情報検索
Githubからの情報漏洩
Githubはソースコード管理サービスで、公開・非公開の設定ができる。非公開であれば、問題は無いはず。
公開設定をした際に、間違えて、シークレットが含まれる情報をアップしてしまうことが問題となる。
それらの情報を見つけるツールがあって、古い書籍には「gitrob」が出てくる。
4年ほど更新されていないようで、現状で通用するのか不明。
こちらのサイトにそれらツールがまとめられていました。
「secret scanning」というツールは、Githubが提供しているらしく、情報漏洩防止対策となっている。
上記はローカルのスキャンがメインのようで、「Gitleaks」というツールで、リモートのGithubリポジトリをスキャンする方法がわからなかった。
「tuffleHog」はgitリポジトリのURLを指定することでスキャンさせることができるようです。
tuffleHogのセットアップ
「tuffleHog」をKaliにインストールするには、
sudo apt install trufflehog
でインストールされる。
しかしながら、この方法だと、Ver2がインストールされ、本家のサイトで紹介されているのはVer3のため、使用方法が異なる。
Ver2では、
trufflehog (get_url)でスキャンされる。
trufflehog https://github.com/trufflesecurity/trufflehog.git
こんな感じで、スキャン結果が表示される。
「gitrecon」は、GithubのユーザーアカウントのOSINTツール。
https://github.com/GONZOsint/gitrecon
「Github Dorks」はサイトとアカウント、双方をスキャンするツール。
などあるようですが、情報が更新されていない様子。
Githubがセキュリティ強化のため、仕様変更をして、通用しなくなっているのか、良く分からない。
