黑客发布GitHub密钥定位工具“TruffleHog”

xman

研究人员Dylan Ayrey发布工具，帮助管理员深入研究GitHub Commits，找到高熵密钥。这款工具名为“TruffleHog”，能通过Github定位高熵密钥，从而避免管理员暴露他们的网络和敏感数据。

黑客发布GitHub密钥定位工具“TruffleHog”

TruffleHog的开发人员Dylan Ayrey去年警告“粘贴劫持”攻击（Pastejack Attack）。他表示，这款工具将定位任何超过20个字符串的高熵密钥。

Ayrey表示，“TruffleHog”通过Git存储库搜索高熵字符串，深入挖掘提交历史（Commit History）和分支（Branch）
他表示，“这款工具能有效找到意外提交的高熵密钥。如果检测到高熵字符串超过20个，将打印到屏幕上。”

Ayrey表示，该工具搜索分支的整个提交历史，检查Commit中的每个diff，评估base64字符集的香农熵（Shannon Entropy）。此外，还评估大文本（blob）（每个大文本超过20个字符，且每个Diff中包含这些字符集）的香农熵。对该工具赞不绝口的用户声称，Amazon已经在搜索GitHub AWS密钥，并在发现任何密钥时关闭相应服务。

黑客发布GitHub密钥定位工具“TruffleHog”-E安全
安全专家常常警告开发人员，在GitHub上发布项目存在泄漏敏感数据的风险。 2013年1月，GitHub推出新的内部搜索功能，可以轻松查找密码、加密密钥和其它数据。当时，用户在GitHub上发现了几千个这样的隐私数据。

最近，专家警告Slack Bot的开发人员，他们在GitHub上发布Slack访问令牌，但却不知不觉地泄漏了敏感数据，包括商业关键信息。

目前TruffleHog在GitHub的星数（Star）超过700，成为继“Pastejack”（Ayrey开发的）之后第二个受欢迎的项目。

TruffleHog只依赖GitPython。TruffleHog下载地址：https://github.com/dxa4481/truffleHog