[同盾安全小tips]Github安全使用建议
导言
众所周知,当今是大数据时代,大规模数据泄露事情一直在发生,从未停止过,但有些人所不知道的是,很多时候一些敏感信息的泄露其实是我们自己无意中造成的,然而一个小疏忽,往往却造成一系列连锁反应……Github上敏感信息的泄露,就是一个典型的例子。Github虽然方便开发者,但其中也埋藏着一些安全隐患,接下来就跟大家分享一下。
利用google搜索引擎很容易抓取Github代码库中的敏感信息,这里为大家举几个例子。
1
搜索邮箱配置信息
很多网站及系统都会使用smtp发送邮件,不少开发者由于安全意识不足会把相关的配置信息也放到Github上,所以如果这时候我们动用一下google搜索命令语句,构造一下关键字,就能把这些信息给找出来了。
site:Github.com smtp
site:Github.com smtp @qq.com
site:Github.com smtp @126.com
我们也可以锁定域名搜索结合厂商域名,例如搜百度的
site:Github.com smtp @baidu.com
2
搜索数据库信息
site:Github.com sa password
site:Github.com root password
site:Github.com User ID='sa’;Password
3
搜索综合信息
site:Github.com password
site:Github.com ftp ftppassword
site:Github.com secret key
site:Github.com 内部
如果我们写成脚本并自动不断查询tongdun&secret_key
github这些都属于公开的内容,而传源码的时候,如果没有进行脱敏处理,会有自己的常用密码,或者公司的敏感信息存在。黑客利用强大的搜索引擎,很容易抓取到Github代码库里边的敏感数据:邮件配置信息、数据库配置信息、FTP配置信息、SVN配置信息And so on,这些配置信息往往都会涉及到账号密码,一旦开发者出现疏忽没能及时处理掉这些敏感数据,这些账号密码就极有可能会一并上传到Github,从而给相关业务带来潜在的安全威胁!
信息泄露轻则导致账号失窃,重则公司敏感信息资料外泄。企业发生信息泄露事件会导致企业在公众中的威望和信任度下降,会直接使用户改变原有选择倾向,从这里不难推断,信息泄密事件可能会使企业失去一大批已有的或者潜在的客户。
因此,请大家⚠️:请勿将公司代码以及任何包含公司敏感信息的代码上传至Github!
了解同盾更多讯息
[同盾安全小tips]为何30%的网络钓鱼消息能够准确触动目标用户打开?
[同盾安全小tips]技术流告诉你:给工作带来危机的操作坏习惯(二)
点击“阅读原文”,直达同盾官网