此工具可以幫助清除軟件項目中的硬編碼密鑰,灰鴿子下載,遠(yuǎn)程控制軟件

admin

此工具可以幫助清除軟件項目中的硬編碼密鑰,灰鴿子下載,遠(yuǎn)程控制軟件
Truffle Hog可以在源代碼存儲庫中找到20個字符或更長的訪問令牌和密鑰

安全研究人員已經(jīng)開發(fā)了一種工具，可以自動檢測在軟件項目中硬編碼的敏感訪問密鑰。

Truffle Hog工具由美國研究員Dylan Ayrey創(chuàng)建，用Python編寫。它通過掃描深入git代碼存儲庫中的20個或更多字符并且具有高熵的字符串來搜索硬編碼的訪問密鑰。以美國數(shù)學(xué)家Claude E. Shannon命名的高香農(nóng)熵將建議一個隨機(jī)性水平，使其成為加密秘密的候選者，如訪問令牌。

用于軟件項目中的各種服務(wù)的硬編碼訪問令牌被認(rèn)為是安全風(fēng)險，因為這些令牌可以被黑客提取而無需太多的努力。不幸的是這種做法很常見。

在2014年，一名研究人員在GitHub的公開訪問代碼中發(fā)現(xiàn)了大約10,000個用于Amazon Web Services和彈性計算云的訪問密鑰。亞馬遜已經(jīng)開始掃描GitHub這樣的密鑰本身和撤銷它們。

去年Detectify的研究人員發(fā)現(xiàn)1,500個Slack令牌由開發(fā)人員硬編碼到GitHub項目，其中許多提供訪問聊天，文件，私人消息和其他在Slack團(tuán)隊中共享的敏感數(shù)據(jù)。

2015年，技術(shù)大學(xué)和德國達(dá)姆施塔特的Fraunhofer安全信息技術(shù)研究所的研究人員進(jìn)行的一項研究揭示了存儲在Android和iOS應(yīng)用程序中的后端即服務(wù)（BaaS）框架的超過1,000個訪問憑據(jù)。這些憑據(jù)解鎖了超過1850萬條記錄，其中包含存儲在BaaS提供商（如Facebook自有的Parse，CloudMine或Amazon Web Services）上的5600萬個數(shù)據(jù)項。

Truffle Hog深入挖掘項目的提交歷史和分支。它將評估Shannon熵，對于每個大于20個字符的文本的blob，base64和十六進(jìn)制字符集，Ayrey在項目的描述中說。

該工具在GitHub上可用，需要運行GitPython庫。公司和獨立開發(fā)人員可以使用它來掃描自己的軟件項目，黑客這樣做。