GitHub に漏れ出た内部コードを探す ~ 上場企業 3900社編 ~ - ぶるーたるごぶりん
全1回、このシリーズは今回で最後です! TL;DR 上場企業 3900 社程に対して、すごく大雑把な「内部コード等の漏洩調査」を GitHub 上で行った 結果としては、重要度の高いものから低いものまで 10社ほどで漏洩が確認された 重要度の高いものとして、社外秘っぽそうなスプレッドシート、社員のハッシュ化パスワード(BCrypt)、 AWS Credential 等 「大雑把な」調査を行ったが、より精度の高い方法等について記事内にて触れていく 脅威インテルとか DLP みたいなエリアとかも、外部企業とかに頼るだけじゃなく「自分たちでも」頑張ってみるのがいいんだと思います GitHub Code Search ... すげえぜ! Google Dorks ならぬ、 GitHub Dorks + GitHub Code Search でまだまだいろいろできるはず。 はじめに チャオ! 今回は
trufflehog x pre-commit & GitHub Actions で GitHubのセキュリティを強化したってばよ - ABEJA Tech Blog
こちらは ABEJA アドベントカレンダー 12日目の記事です。 こんにちは。CTO室の村主です。セキュリティ強化も自組織の役割であるため、ABEJAのセキュリティ対策に関する内容を共有したいと思います。 はじめに trufflehog(トリュフホッグ) クレデンシャルの埋め込みに対する取り組み 1. まず現在のリポジトリがクリーンな状態を担保するために、全リポジトリをスキャンしました(1,000以上…) 2. 次に新しいコミットに対してクレデンシャルが埋め込まれないように全エンジニアに pre-commit に trufflehog を設定してもらいました 3. そこで、GitHub Actions を利用して、1日1回、更新のあったリポジトリだけリスト化して、trufflehogでスキャンする仕組みを構築しました trufflehog の使い方 全リポジトリのスキャン pre-comm
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - spekulatius/infosec-dorks: A Personal Collection of Infosec Dorks
GitHub - redhuntlabs/BucketLoot: BucketLoot is an automated S3-compatible bucket inspector that can help users extract assets, flag secret exposures and even search for custom keywords as well as Regular Expressions from publicly-exposed storage buckets b
Self-Way/Guide/Recon/SHODAN_QUERY.md at 8246c6af4e41a67ae0aeaf1baec880aaac3498a8 · ghostwond3r/Self-Way
GitHub - ihebski/DefaultCreds-cheat-sheet: One place for all the default credentials to assist the Blue/Red teamers activities on finding devices with default password 🛡️
GitHub - rndinfosecguy/TrashSearch: Searching the TrashPanda OSINT bot API to check if your email/domain or password was leaked or not
GitHub - daffainfo/Key-Checker: Go scripts for checking API key / access token validity
GitHub Recon and Sensitive Data Exposure
GitHub - davidtavarez/pwndb: Search for leaked credentials
GitHub - n00py/LAPSDumper: Dumping LAPS from Python
GitHub - lanjelot/patator: Patator is a multi-purpose brute-forcer, with a modular design and a flexible usage.
GitHub - knassar702/scant3r: ScanT3r - Module based Bug Bounty Automation Tool ( use Lotus instead github.com/bugBlocker/lotus )
GitHub - atomist-skills/github-secret-scanner-skill: Atomist Skill to scan committed code for well-known credentials and secrets
pentest-tools/keyhacks.sh at master · gwen001/pentest-tools
GitHub - securing/DumpsterDiver: Tool to search secrets in various filetypes.
GitHub - disruptops/cred_scanner: A simple file-based scanner to look for potential AWS access and secret keys in files
Getting access to Zendesk’s Google Cloud and Artifactory from GitHub dotfile repos
My tips for finding security issues in GitHub projects.
GitHub - joshlarsen/aws-recon: Multi-threaded AWS inventory collection tool with a focus on security-relevant resources and metadata.