GitGot – 半自动化搜索GitHub公共数据,并获取敏感信息的工具
- 发表于
- 安全工具
GitGot介绍
GitGot是一个半自动化,反馈驱动的工具,使用户能够快速搜索GitHub上的大量公共数据,获取并检查敏感信息泄露情况。
GitGot原理
在搜索会话期间,用户将向GitGot提供有关要忽略的搜索结果的反馈,GitGot会修剪结果集。用户可以按文件名,存储库名称,用户名或文件内容的模糊匹配对文件进行黑名单。
可以保存先前会话生成的黑名单并针对类似查询重复使用(例如 example.com
vs subdomain.example.com
vs Example Org
)。会话也可以随时暂停和恢复。
GitGot安装
依赖
1 2 3 4 5 |
# Linux $ apt-get install libfuzzy-dev ssdeep # macOS $ brew install ssdeep |
项目安装
1 2 |
https://github.com/BishopFox/GitGot.git pip3 install -r requirements.txt |
GitGot使用
GitGot需要一个令牌token,在github创建好后配置gitgot.py
如下所示:
1 |
ACCESS_TOKEN = "<NO-PERMISSION-GITHUB-TOKEN-HERE>" |
添加token后您可以使用了:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
#使用默认的RegEx列表和日志文件位置查询字符串“example.com”(/logs/<query>.log) ./gitgot.py -q example.com #使用GitHub高级搜索语法 ./gitgot.py -q "org:github cats" #自定义正则表达式列表和自定义日志文件的位置 ./gitgot.py -q example.com -f checks / default.list -o example1.log #从现有会话中恢复 ./gitgot.py -q example.com -r example.com.state #使用现有会话(带黑名单)进行新查询 ./gitgot.py -q "Example Org" -r example.com.state |
原文连接:GitGot – 半自动化搜索GitHub公共数据,并获取敏感信息的工具
所有媒体,可在保留署名、
原文连接
的情况下转载,若非则不得使用我方内容。