Truffle Hog可以在源代碼存儲(chǔ)庫內(nèi)找到20個(gè)字符或以上的訪問令牌和密鑰

安全研究人員開發(fā)了一種新工具，這一工具可以自動(dòng)檢測(cè)軟件項(xiàng)目中已被硬編碼的敏感訪問密鑰。

這種名為Truffle Hog( https://github.com/dxa4481/truffleHog )的工具由美國研究員迪倫·艾雷用Python語言開發(fā)。它可以通過掃描源代碼庫里包含20以上字符的高熵值的字符串來搜尋硬編碼的訪問密鑰。高香農(nóng)熵，即我們通常所說的信息熵，得名于美國數(shù)學(xué)家克勞德·E·香農(nóng)，它包含一定程度的隨機(jī)性，這使它適合用于類似“訪問令牌”等需要加密的信息。

軟件項(xiàng)目各類服務(wù)里的硬編碼訪問令牌是公認(rèn)的安全風(fēng)險(xiǎn)，黑客不需費(fèi)太多力氣便可獲取。而且這種情況很常見。

2014年，一名研究者發(fā)現(xiàn)GitHub的可公開訪問代碼中遺留有近萬的亞馬遜的網(wǎng)絡(luò)服務(wù)和彈性計(jì)算云的訪問密鑰。亞馬遜自此開始搜尋并清除GitHub中此類密鑰。

2015年，Detectify的研究人員在GitHub項(xiàng)目中發(fā)現(xiàn)了1500個(gè)開發(fā)人員硬編碼產(chǎn)生的Slack令牌，其中很多令牌泄露了團(tuán)隊(duì)在Slack上的內(nèi)部共享的聊天歷史、文件、私人信息等敏感數(shù)據(jù)。

2015年，位于德國達(dá)姆施塔特的工業(yè)大學(xué)和弗勞恩霍夫信息安全研究所主持了一項(xiàng)研究，研究發(fā)現(xiàn)了存儲(chǔ)在Android和iOS應(yīng)用程序里的超過1000個(gè)后端即服務(wù)（BaaS）框架的訪問憑證。通過這些憑證可以獲得1850萬條記錄，其中包括存儲(chǔ)在Facebook Parse、CloudMine或亞馬遜網(wǎng)絡(luò)服務(wù)等BaaS提供商的5600萬數(shù)據(jù)項(xiàng)。

艾雷描述Truffle Hog時(shí)說，該工具將深入挖掘一個(gè)項(xiàng)目的提交歷史和分支。它會(huì)評(píng)估為每一個(gè)使用base64編碼和16進(jìn)制所表示的大于20字符的字符串的香農(nóng)熵。

該工具可在GitHub上下載，運(yùn)行時(shí)需要加載GitPython庫。公司和獨(dú)立開發(fā)者可以趕在黑客之前，用它來檢查自己的軟件項(xiàng)目。

－－－

在訂閱號(hào)里，長按公眾號(hào)，即可“置頂”