此工具可以帮助杂草从软件项目中进行硬编码键
亚马逊将您的数据写入其云端
杂货店Lidl滚动了自然语言聊天,以改善客户体验
会计师希望人工智能作为客户更加苛刻
旧金山MUNI表示,在勒索软件中未访问的服务器数据
政治可以从Facebook上拉Zuckerberg吗?
全球服务仍然有问题的孩子
RackSpace升级以节省120万,并使用种类对象存储
Digital CataPult开始加速程序,以帮助AI启动克服主要障碍
IBM,Apple,将Watson带入iOS企业
您需要了解虚拟专用网络的5件事
抗议之后,联想将Linux兼容性与瑜伽900和900s带来
微软正在寻求构建量子计算机
蒂姆厨师或比尔盖茨作为克林顿的VP?它被认为是
制造商学院:帮助公司解决多样性招聘困境
Colt DCS跨越欧洲数据中心的可再生电力使用
对于网络安全差的CNI提供者确认了契约罚款
厄瓜多尔削减了Wikileaks创始人的互联网接入
基层在离岸外包上批评大学
IT优先事项2018:为什么它必须将其方法改变为Windows 10
HPE的新首席执行官呈现出强大的第一季度杂交
Microsoft真的发生了变化,Linux基金会主席说
美国医院的iPad患者计划和苹果公司的MHealth投标
调查说,云采用继续前进,调查说
微软追逐新的团队服务
PAC说,政府必须急于招募BREXIT所需的数字技能
三星Galaxy Note7 Fiasco击中了Qualcomm的收入
node.js是'通用'JavaScript应用程序的框架后,下一步
NCSC说网络安全是一项团队运动
法官将花时间从欧盟法院求答案到Max Schrems Facebook隐私战斗
2016年最大的黑客:41200万FriendFinder网络账户暴露
优步面临来自快递员声称员工身份的诉讼
CIO采访:Chris Ashworth,Cio,Hermes
思科使用其基于云的智能服务命名10个城市
Travelbank使用机器学习,以保存旅行的企业资金
前NSA承包商囤积了二十年的秘密
Booking.com年度技术奖项侧重于创建可见榜样
奥巴马·塔特斯科技研发,拳头碰撞人类控制机器人手臂
如何宣布公司发布
谷歌到untrust woosign和startcom证书
EC促进网络安全支持和协作
普遍信贷业务案例仍未批准,因为担忧继续进行数字服务
当小米手机来美国时
加密货币挖掘比冰岛的家园更多的电力
4G IOT网络可以缓解航空部门对无人机安全的恐惧
英特尔的第一个商业无人机在美国陆地。
Kao数据在哈洛的第一阶段开设了大多数200米日期中心的校园
联盟营销业未能对隐私合规无效
面试:Kaspar Korjus,爱沙尼亚e-Residency Lead
奥普通在宽带速度披露上实施新规则
您的位置:首页 >科技 > 消费电子 >

此工具可以帮助杂草从软件项目中进行硬编码键

2021-07-29 10:44:18 [来源]:

安全研究员开发了一种工具,可以自动检测软件项目中已硬编码的敏感访问密钥。

The Truffle Hog工具是由基于U.S.的研究员Dylan Ayrey创建的,并用Python编写。它通过扫描了20个或多个字符的字符串的深度内部Git代码存储库来搜索硬编码的访问密钥,并具有高熵。在美国数学家Claude E. Shannon以美国数学家Claude E. Shannon命名的高香农熵会提出一定程度的随机性,使其成为加密秘密的候选人,如访问令牌。

软件项目中各种服务的硬编码访问令牌被视为安全风险,因为可以在黑客而不需要大量努力的情况下提取这些令牌。不幸的是,这种做法非常普遍。

2014年,研究人员发现了亚马逊Web服务的几乎10,000个访问键,并且在GitHub上的公开访问代码内的开发人员留下了剩余的弹性计算云。自从开始扫描GitHub以获得此类键本身并撤销它们。

去年从侦查的研究人员发现1,500个Slack代币被开发人员硬编码为GitHub项目,其中许多人提供了对Slack团队内部共享的聊天,文件,私人消息和其他敏感数据的访问。

2015年,技术大学的研究人员和德国达姆施塔特·达姆施塔特弗劳霍夫安全信息技术研究所的研究揭示了存储在Android和IOS应用程序中的后端服务(BAAS)框架的1000多个访问凭据。这些凭证解锁了超过1850万条记录,其中包含了5600万个数据项,存储在Baas提供商上,如Facebook所拥有的Parse,Cloudmine或Amazon Web服务。

松露猪深入进入一个项目的提交历史和分支机构。Ayrey在项目的描述中表示,它将评估Base64和十六进制字符的Shannon熵为Base64和十六进制字符集,该文本大于20个字符。

该工具可在GitHub上使用,并要求Gitpython库运行。公司和独立开发人员可以使用它来扫描自己在黑客这样做之前的软件项目。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。