此工具可以帮助杂草从软件项目中进行硬编码键
安全研究员开发了一种工具,可以自动检测软件项目中已硬编码的敏感访问密钥。
The Truffle Hog工具是由基于U.S.的研究员Dylan Ayrey创建的,并用Python编写。它通过扫描了20个或多个字符的字符串的深度内部Git代码存储库来搜索硬编码的访问密钥,并具有高熵。在美国数学家Claude E. Shannon以美国数学家Claude E. Shannon命名的高香农熵会提出一定程度的随机性,使其成为加密秘密的候选人,如访问令牌。
软件项目中各种服务的硬编码访问令牌被视为安全风险,因为可以在黑客而不需要大量努力的情况下提取这些令牌。不幸的是,这种做法非常普遍。
2014年,研究人员发现了亚马逊Web服务的几乎10,000个访问键,并且在GitHub上的公开访问代码内的开发人员留下了剩余的弹性计算云。自从开始扫描GitHub以获得此类键本身并撤销它们。
去年从侦查的研究人员发现1,500个Slack代币被开发人员硬编码为GitHub项目,其中许多人提供了对Slack团队内部共享的聊天,文件,私人消息和其他敏感数据的访问。
2015年,技术大学的研究人员和德国达姆施塔特·达姆施塔特弗劳霍夫安全信息技术研究所的研究揭示了存储在Android和IOS应用程序中的后端服务(BAAS)框架的1000多个访问凭据。这些凭证解锁了超过1850万条记录,其中包含了5600万个数据项,存储在Baas提供商上,如Facebook所拥有的Parse,Cloudmine或Amazon Web服务。
松露猪深入进入一个项目的提交历史和分支机构。Ayrey在项目的描述中表示,它将评估Base64和十六进制字符的Shannon熵为Base64和十六进制字符集,该文本大于20个字符。
该工具可在GitHub上使用,并要求Gitpython库运行。公司和独立开发人员可以使用它来扫描自己在黑客这样做之前的软件项目。