展开

关键词

Github寻找敏感信息

0x02 #Github之邮件配置信息泄露# 很多网站及系统都会使用pop3和smtp发送来邮件,不少开发者由于安全意识不足会把相关的配置信息也放到Github上,所以如果这时候我们动用一下google 搜索命令语句,构造一下关键字,就能把这些信息给找出来了。 password smtp …… 我们也可以锁定域名搜索结合厂商域名 灵活运用例如搜百度的 site:Github.com smtp @baidu.com 0x03 #Github之数据库信息泄露 sa password site:Github.com root password site:Github.com User ID='sa';Password 0x04 #Github之svn信息泄露 :Github.com inurl:sql …… 这个往往能收到不少好东西 一个数据库备份文件 从而找到后台管理员账号密码 找到地址登陆后台这样的例子有不少 0x06 #Github之综合信息泄露

77420

Github寻找敏感信息

0x02 #Github之邮件配置信息泄露# 很多网站及系统都会使用pop3和smtp发送来邮件,不少开发者由于安全意识不足会把相关的配置信息也放到Github上,所以如果这时候我们动用一下google 搜索命令语句,构造一下关键字,就能把这些信息给找出来了。 password smtp …… 我们也可以锁定域名搜索结合厂商域名 灵活运用例如搜百度的 site:Github.com smtp @baidu.com 0x03 #Github之数据库信息泄露 sa password site:Github.com root password site:Github.com User ID='sa';Password 0x04 #Github之svn信息泄露 :Github.com inurl:sql …… 这个往往能收到不少好东西 一个数据库备份文件 从而找到后台管理员账号密码 找到地址登陆后台这样的例子有不少 0x06 #Github之综合信息泄露

33530
  • 广告
    关闭

    腾讯云开发者社区系列公开课上线啦!

    Vite学习指南,基于腾讯云Webify部署项目。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    emlog敏感信息泄漏漏洞

    漏洞名称:phpinfo暴露敏感信息, 漏洞形成:/admin/index.php最后一行 //phpinfo() if ($action == 'phpinfo') { @phpinfo() OR emMsg

    18320

    GitHub敏感信息扫描工具

    功能设计说明 GitPrey是根据企业关键词进行项目检索以及相应敏感文件和敏感文件内容扫描的工具,其设计思路如下: 根据关键词在GitHub中进行全局代码内容和路径的搜索(in:file,path),将项目结果做项目信息去重整理得到所有关键词相关的项目 ,即疑似项目结果; 基于PATTERN_DB中的敏感文件名或敏感代码对所有疑似项目做文件名搜索(filename:)和代码搜索(in:file); 将匹配搜索到的结果按照项目整理输出; 由于无法做到精确匹配和精确识别 PATH_DB内容检索特定文件的泄漏; 敏感内容搜索是基于PASS_DB和FILE_DB进行检索,再根据INFO_DB和PASS_DB输出相关代码行;_ 程序使用帮助 GitPrey v2.2版本后去除了 -l:选填参数,用于设置代码搜索深度; -k:必填参数,用于设置搜索关键词,若关键词中包含空白字符,需用双引号将关键词括起来; -h:帮助信息。 文件配置说明 pattern为搜索项文件配置目录,相关文件说明如下: path.db:敏感文件名或文件后缀,用于搜索文件名,如:htpasswd file.db:敏感内容关键词搜索的文件名称范围,内容搜索在该文件名称范围内进行

    2K80

    Spring Boot 敏感信息加密

    jasypt由一个国外大神写了一个springboot下的工具包,用来加密配置文件中的信息

    11620

    authing越权查看用户敏感信息

    可以看到对应的箭头标注处 注意Referer 此处的链接, 分别对应了id 和 registerInClient, 此时我们查看用户A以上面步骤访问test@test.com 用户信息时的请求包 ? 可以看到得到用户的全部信息,但是在访问链接往下的时候已经可以很直观的看到了这里是可以得到用户的token。 可以查看用户的位置信息记录 ? ? 还可以得到用户池的密钥。 总结: 只需要得到用户的id registerInClient 值就可以以最简单的方式实现越权访问用户的敏感数据。

    38630

    从仓库中移除敏感信息

    如果你将敏感数据(如密码或 SSH 密钥)提交到 Git 仓库,你能够将其从历史记录中删除。 有关删除使用最新提交添加的文件的信息,请参阅“从仓库历史记录中删除文件” 警告:一旦你推送了一个提交到 GitHub,你应该考虑它包含的任何数据都会被泄露。如果你提交了密码,请更改密码! 本文将告诉你如何使用 GitHub 仓库中的任何分支或标签无法访问敏感数据。 有关更多信息,请参阅Git Tools Stashing。 如果你的历史记录中尚未拥有敏感数据的存储库本地副本,请将克隆仓库到本地 电脑。

    7820

    Java代码审计 -- 敏感信息泄露

    欢迎关注我的微信公众号《壳中之魂》,查看更多网安文章 敏感信息一般分为系统敏感信息和应用敏感信息两大类,其中,系统敏感信息一般为业务系统本身的基础环境信息,例如系统信息、中间件版本、代码信息;应用敏感信息又可以分为个人敏感信息和非个人敏感信息 ,个人敏感信息包括身份证、姓名、电话号码、邮箱等,非个人敏感信息则可能是企事业单位甚至国家层面的敏感信息。 系统敏感信息的泄露可能为攻击者提供更多的攻击途径与方法,而应用敏感信息的泄露造成的危害就因信息内容而定。 type=pm可以发现显示出了登陆过的用户信息,造成了敏感信息泄露 [2cfd1df51d27288990a4c4169ed827f0.jpeg] 开发组件敏感信息泄露 错误页面 若开发人员未做好自定义错误页面 ,则容易将网站的一些开发组件信息暴露,报错信息中可能会包含服务器代码信息、数据库连接信息、SQL语句或者敏感文件的路径,为攻击者收集信息提供了方便。

    37600

    神兵利器 - GitHub敏感信息收集

    GitDorker是一个工具,它利用GitHub搜索API和我从各种来源汇编的大量GitHub dorks列表,提供存储在github上的敏感信息的概览,并给出搜索查询。 GitDorker的主要目的是为用户提供一个干净和量身定做的攻击面,以开始采集GitHub上的敏感信息。 你放入的高级查询越多(即包含用户、机构、终端信息等),你将获得越简洁的结果。 项目地址: https://github.com/obheda12/GitDorker

    62420

    Django部署的敏感信息配置

    DJango通过加载settings.py 来读取配置信息,例如数据库用户民密码等。 config.json','r') as f: config = json.load(f) 使用config['MYSQL_DB'][key] 这样的方式 使用即可 如果你使用git进行版本管理,一定要把配置信息从跟踪表中提出

    42700

    kubernetes使用secrets保存敏感信息

    有多个data时使用--from-literal=user=root --from-literal=password=123 查看secrets时passwo...

    7030

    了解政治敏感有害信息

    政治敏感是指用户在使用QQ产品时,存在以下行为,包括但不限于: 1、涉及反对宪法确定的基本原则、社会主义制度、危害国家统一、主权和领土完整; 2、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一; 温馨提示: 若在QQ上发现政治敏感有害信息,请在客户端直接进行举报。一经发现,腾讯将根据情节进行删除违规信息、警告、限制或禁止使用部分或全部功能直至永久封号的处罚,并有权公告处理结果。 QQ个人举报方法: 方法①点击聊天框右上角头像—点击页面下方【举报】按钮-【该帐号发布色情/违法等不良信息】-【政治敏感】 ? 方法②点击聊天框用户头像—资料页右上角【更多】—举报-【该帐号发布色情/违法等不良信息】-【政治敏感】 ? QQ群举报方法:群资料页面-右上角【···】-【举报】-【政治敏感】 ? 面对网络有害信息,我们诚邀正义的你,与我们同行,一起守护清朗的互联网环境! ? QQ扫码关注腾讯举报中心

    2.2K10

    干货|浅析敏感信息泄露漏洞

    Web中存储敏感的数据信息。 检测方法: 检测形式多样,工具爬虫扫描得到敏感文件的路径,从而找到敏感数据, 手工挖掘,根据web容器或者网页源代码的查看,找到敏感信息。 禁止在 cookie 中以明文形式存储敏感数据:cookie信息容易被窃取,尽量不要在cookie中存储敏感数据;如果条件限制必须使用cookie存储敏感信息时,必须先对敏感信息加密再存储到cookie 禁止在日志中记录明文的敏感数据:禁止在日志中记录明文的敏感数据(如口令、会话标识jsessionid等), 防止敏感信息泄漏。 禁止带有敏感数据的Web页面缓存:带有敏感数据的Web页面都应该禁止缓存,以防止敏感信息泄漏或通过代理服务器上网的用户数据互窜问题。 Web敏感信息 phpinfo()信息泄漏 http://[ip]/test.php和http://[ip]/phpinfo.php 测试页面泄漏在外网 test.cgi、phpinfo.php、info.php

    47020

    代码中的敏感信息加密方案

    那么代码中的敏感信息该如何处理呢?本文将简单介绍一下我们的实践方法。 实现目标 1. 代码中的敏感信息加密,例如邮箱账号密码、连接数据库的账号密码、第三方校验的key 2. 对于生产使用的原始密码等信息应尽量少的人接触,例如数据库的密码应只有DBA知道 信息加密 信息加密常见的有两类: 第一类无需解密:例如系统登录密码加密,通过加密算法对用户输入密码进行加密后存放在数据库中 当需要连接数据库的时候,要对密文进行解密,拿到原始未加密的账号密码去连接数据库,与MD5单向加密不同,这类加密需要能对加密后的密文进行解密,此类加密方法目前最常用的加密算法为RSA 我们这里考虑的是给配置文件里的敏感信息加密 DBA创建数据库账号密码,通过上一步运维生成的秘钥对密码进行加密,并将加密后的字符串给到开发写在项目代码配置文件中 秘钥跟代码分离,这样在整个过程中,开发、运维都无法接触到数据库密码,每个角色得到的信息都够用且最少

    45420

    替换文件中的敏感信息

    今天我们来做一个现实中有可能会碰到的问题: 替换文件中的敏感信息 问题描述 假设我们有一份文件,文件中包含了很多个人信息。 现在需要一份去除其中敏感信息的版本,将文件中所有手机号的4~7位和身份证号的6~15位用 * 替换。

    645100

    DotNet隐藏敏感信息操作方法

    在项目中,有时候一些信息不便完全显示,只需要显示部分信息。 现在提供一些隐藏敏感信息的操作方法,主要为对信息的截取操作:      1.指定左右字符数量,中间的*的个数和实际长度有关: ///

    /// 隐藏敏感信息 return sbText.ToString(); }     2.指定左右字符数量,中间的*的个数固定: /// /// 隐藏敏感信息 ,默认左右各取1/3: /// /// 隐藏敏感信息 /// /// <param name=" ,可以采用js实现,也可以采用jquery插件完成操作,但是在前台进行这样的操作,存在一些风险,在后台完成对字符的<em>信息</em>截取,可以很好的对<em>信息</em>进行保护。

    30970

    SpringBoot配置文件敏感信息加密

    注意上面的 ENC()是固定写法,()里面是加密后的信息。 profile 运行 java -jar -Djasypt.encryptor.password=${JASYPT_PASSWORD} xxx.jar 到此,我们就实现了springboot配置文件里的敏感信息加密

    2.6K20

    Django小技巧19: 保护敏感信息

    Django小技巧19: 保护敏感信息 Posted November 05, 2018 ? TOKEN 这样 Django 就不好转储哪些包含敏感信息的配置变量. 特别注意的一点: 永远不要把敏感信息提交到公共代码仓库!换句话说,就说不要把敏感信息添加到 settings.py 中, 最好的方式是使用环境变量或者python-decouple. 后续会写一篇将配置上下线分离的文章 说到过滤错误报告,你应该使用两个过滤器: sensitive_variables 可以定义一组局部敏感变量, 这些变量不好显示在错误报告中,从而达到保护它们的作用。 阅读更多关于过滤敏感信息的文档. Django Documentation

    90230

    超详细敏感信息泄露漏洞总结

    确保参与制作网站的每个人都充分了解哪些信息被认为是敏感的。有时看似无害的信息对攻击者比人们意识到的要有用得多。突出这些危险有助于确保你的组织更安全地处理敏感信息。 尽可能多地使用通用错误消息。 3、禁止在cookie中以明文形式存储敏感数据:cookie信息容易被窃取,尽量不要在cookie中存储敏感数据;如果条件限制必须使用cookie存储敏感信息时,必须先对敏感信息加密再存储到cookie 6、禁止在日志中记录明文的敏感数据:禁止在日志中记录明文的敏感数据(如口令、会话标识jsessionid等),防止敏感信息泄漏。 7、禁止带有敏感数据的Web页面缓存:带有敏感数据的Web页面都应该禁止缓存,以防止敏感信息泄漏或通过代理服务器上网的用户数据互窜问题。 8、应根据业务特点定义出系统存储的敏感信息。 9、敏感信息在存储、传输、显示时应进行安全处理,可采用的处理方式为加密或脱敏。 10、敏感信息不应使用GET方式提交到服务器。

    97410

    Web渗透之网站信息、域名信息、端口信息敏感信息及指纹信息收集

    3.敏感目录信息 针对目标Web目录结构和敏感隐藏文件探测是非常重要的,在探测过程中很可能会探测到后台页面、上传页面、数据库文件,甚至是网站源代码文件等。 例如识别 https://cn.wordpress.org/ 官方网站的框架信息,可以调用whatwep命令或在线网站获取其CMS信息。 ? ? 五.敏感信息收集 针对某些安全做得很好的目标,直接通过技术层面是无法完成渗透测试的。在这种情况下,可以利用搜索引擎目标暴露在互联网上的关联信息。 在某些情况下,收集到的信息会对后期进行测试起到帮助重要。如果通过收集敏感信息直接获取了目标系统的数据库访问权限,那么渗透测试任务就结束了一大半。 因此在进行技术层面情况下的测试之前,应该先进行更多的信息收集,尤其是针对敏感信息的。

    1.4K30

    相关产品

    • 文字识别

      文字识别

      文字识别(OCR)基于腾讯优图实验室世界领先的深度学习技术,将图片上的文字内容,智能识别成为可编辑的文本。OCR 支持身份证、名片等卡证类和票据类的印刷体识别,也支持运单等手写体识别,支持提供定制化服务,可以有效地代替人工录入信息。

    相关资讯

    热门标签

    扫码关注腾讯云开发者

    领取腾讯云代金券