Truffle Hog可以在源代码存储库内找到20个字符或以上的访问令牌和密钥
安全研究人员开发了一种新工具,这一工具可以自动检测软件项目中已被硬编码的敏感访问密钥。
这种名为Truffle Hog( https://github.com/dxa4481/truffleHog )的工具由美国研究员迪伦·艾雷用Python语言开发。它可以通过扫描源代码库里包含20以上字符的高熵值的字符串来搜寻硬编码的访问密钥。高香农熵,即我们通常所说的信息熵,得名于美国数学家克劳德·E·香农,它包含一定程度的随机性,这使它适合用于类似“访问令牌”等需要加密的信息。
软件项目各类服务里的硬编码访问令牌是公认的安全风险,黑客不需费太多力气便可获取。而且这种情况很常见。
2014年,一名研究者发现GitHub的可公开访问代码中遗留有近万的亚马逊的网络服务和弹性计算云的访问密钥。亚马逊自此开始搜寻并清除GitHub中此类密钥。
2015年,Detectify的研究人员在GitHub项目中发现了1500个开发人员硬编码产生的Slack令牌,其中很多令牌泄露了团队在Slack上的内部共享的聊天历史、文件、私人信息等敏感数据。
2015年,位于德国达姆施塔特的工业大学和弗劳恩霍夫信息安全研究所主持了一项研究,研究发现了存储在Android和iOS应用程序里的超过1000个后端即服务(BaaS)框架的访问凭证。通过这些凭证可以获得1850万条记录,其中包括存储在Facebook Parse、CloudMine或亚马逊网络服务等BaaS提供商的5600万数据项。
艾雷描述Truffle Hog时说,该工具将深入挖掘一个项目的提交历史和分支。它会评估为每一个使用base64编码和16进制所表示的大于20字符的字符串的香农熵。
该工具可在GitHub上下载,运行时需要加载GitPython库。公司和独立开发者可以赶在黑客之前,用它来检查自己的软件项目。
本文转自d1net(转载)