这个工具可以清除软件代码项目中的硬编码密钥

简介:

Truffle Hog可以在源代码存储库内找到20个字符或以上的访问令牌和密钥

安全研究人员开发了一种新工具,这一工具可以自动检测软件项目中已被硬编码的敏感访问密钥。

这种名为Truffle Hog( https://github.com/dxa4481/truffleHog )的工具由美国研究员迪伦·艾雷用Python语言开发。它可以通过扫描源代码库里包含20以上字符的高熵值的字符串来搜寻硬编码的访问密钥。高香农熵,即我们通常所说的信息熵,得名于美国数学家克劳德·E·香农,它包含一定程度的随机性,这使它适合用于类似“访问令牌”等需要加密的信息。

软件项目各类服务里的硬编码访问令牌是公认的安全风险,黑客不需费太多力气便可获取。而且这种情况很常见。

2014年,一名研究者发现GitHub的可公开访问代码中遗留有近万的亚马逊的网络服务和弹性计算云的访问密钥。亚马逊自此开始搜寻并清除GitHub中此类密钥。

2015年,Detectify的研究人员在GitHub项目中发现了1500个开发人员硬编码产生的Slack令牌,其中很多令牌泄露了团队在Slack上的内部共享的聊天历史、文件、私人信息等敏感数据。

2015年,位于德国达姆施塔特的工业大学和弗劳恩霍夫信息安全研究所主持了一项研究,研究发现了存储在Android和iOS应用程序里的超过1000个后端即服务(BaaS)框架的访问凭证。通过这些凭证可以获得1850万条记录,其中包括存储在Facebook Parse、CloudMine或亚马逊网络服务等BaaS提供商的5600万数据项。

艾雷描述Truffle Hog时说,该工具将深入挖掘一个项目的提交历史和分支。它会评估为每一个使用base64编码和16进制所表示的大于20字符的字符串的香农熵。

该工具可在GitHub上下载,运行时需要加载GitPython库。公司和独立开发者可以赶在黑客之前,用它来检查自己的软件项目。

本文转自d1net(转载)

相关文章
|
7月前
|
移动开发 安全 数据安全/隐私保护
iOS 全局自动化代码混淆工具!支持 cocoapod 组件代码一并混淆
iOS 全局自动化代码混淆工具!支持 cocoapod 组件代码一并混淆
|
7月前
|
监控 网络协议 安全
验证嵌入式ARM32环境中4G模块的有效方法
验证嵌入式ARM32环境中4G模块的有效方法
151 0
|
4月前
|
编解码 JavaScript 前端开发
JS逆向浏览器脱环境专题:事件学习和编写、DOM和BOM结构、指纹验证排查、代理自吐环境通杀环境检测、脱环境框架、脱环境插件解决
JS逆向浏览器脱环境专题:事件学习和编写、DOM和BOM结构、指纹验证排查、代理自吐环境通杀环境检测、脱环境框架、脱环境插件解决
120 1
|
存储 NoSQL 程序员
试试 python-dotenv,避免敏感信息被硬编码到代码中
试试 python-dotenv,避免敏感信息被硬编码到代码中
215 0
|
安全 API Android开发
教你如何高效的检查APK中使用敏感权限的地方以及检查某系统方法被调用的地方
教你如何高效的检查APK中使用敏感权限的地方以及检查某系统方法被调用的地方
546 0
教你如何高效的检查APK中使用敏感权限的地方以及检查某系统方法被调用的地方
|
存储 安全
这个工具可以清除软件代码项目中的硬编码密钥
本文讲的是这个工具可以清除软件代码项目中的硬编码密钥,Truffle Hog可以在源代码存储库内找到20个字符或以上的访问令牌和密钥
1661 0
密钥生成工具功能详解
说明:  本帖主要是为大家说明一下密钥生成工具的功能的使用方法,以及如何使用工具来处理集成中遇到的一些问题工具下载地址:【点击下载】一、生成密钥的功能 使工具生成密钥需要注意以下几点:   1、密钥生成工具生成密钥可以生成RSA密钥和RSA2密钥,如果是生成RSA密钥 密钥长度就需要选择1024长度的,如果是生成RSA2也就是RSA(256)密钥,那就需要选择2048长度的。
2719 12
|
网络安全
安装数字证书的过程是怎么样?有何作用?
  SSL数字证书(什么是SSL数字证书)在网络传输中有着不可替代的作用,它不仅仅能够防止用户信息在网站中被窃听截取,还可以很好的维护一个网站的数据信息,给企业网址树立一个安全可信的形象。那么如何安装数字证书?以及数字证书作用有哪些?  首先要想安装数字证书,要先知道CA机构。
1403 0
|
数据安全/隐私保护