此工具可以幫助清除軟件項(xiàng)目中的硬編碼密鑰,灰鴿子下載,遠(yuǎn)程控制軟件

admin

此工具可以幫助清除軟件項(xiàng)目中的硬編碼密鑰,灰鴿子下載,遠(yuǎn)程控制軟件
Truffle Hog可以在源代碼存儲(chǔ)庫(kù)中找到20個(gè)字符或更長(zhǎng)的訪問令牌和密鑰

安全研究人員已經(jīng)開發(fā)了一種工具，可以自動(dòng)檢測(cè)在軟件項(xiàng)目中硬編碼的敏感訪問密鑰。

Truffle Hog工具由美國(guó)研究員Dylan Ayrey創(chuàng)建，用Python編寫。它通過掃描深入git代碼存儲(chǔ)庫(kù)中的20個(gè)或更多字符并且具有高熵的字符串來(lái)搜索硬編碼的訪問密鑰。以美國(guó)數(shù)學(xué)家Claude E. Shannon命名的高香農(nóng)熵將建議一個(gè)隨機(jī)性水平，使其成為加密秘密的候選者，如訪問令牌。

用于軟件項(xiàng)目中的各種服務(wù)的硬編碼訪問令牌被認(rèn)為是安全風(fēng)險(xiǎn)，因?yàn)檫@些令牌可以被黑客提取而無(wú)需太多的努力。不幸的是這種做法很常見。

在2014年，一名研究人員在GitHub的公開訪問代碼中發(fā)現(xiàn)了大約10,000個(gè)用于Amazon Web Services和彈性計(jì)算云的訪問密鑰。亞馬遜已經(jīng)開始掃描GitHub這樣的密鑰本身和撤銷它們。

去年Detectify的研究人員發(fā)現(xiàn)1,500個(gè)Slack令牌由開發(fā)人員硬編碼到GitHub項(xiàng)目，其中許多提供訪問聊天，文件，私人消息和其他在Slack團(tuán)隊(duì)中共享的敏感數(shù)據(jù)。

2015年，技術(shù)大學(xué)和德國(guó)達(dá)姆施塔特的Fraunhofer安全信息技術(shù)研究所的研究人員進(jìn)行的一項(xiàng)研究揭示了存儲(chǔ)在Android和iOS應(yīng)用程序中的后端即服務(wù)（BaaS）框架的超過1,000個(gè)訪問憑據(jù)。這些憑據(jù)解鎖了超過1850萬(wàn)條記錄，其中包含存儲(chǔ)在BaaS提供商（如Facebook自有的Parse，CloudMine或Amazon Web Services）上的5600萬(wàn)個(gè)數(shù)據(jù)項(xiàng)。

Truffle Hog深入挖掘項(xiàng)目的提交歷史和分支。它將評(píng)估Shannon熵，對(duì)于每個(gè)大于20個(gè)字符的文本的blob，base64和十六進(jìn)制字符集，Ayrey在項(xiàng)目的描述中說。

該工具在GitHub上可用，需要運(yùn)行GitPython庫(kù)。公司和獨(dú)立開發(fā)人員可以使用它來(lái)掃描自己的軟件項(xiàng)目，黑客這樣做。