温馨提示:文本由机器自动转译,部分词句存在误差,以视频为准
00:00
详解应编码密码的泄露风险及其扫描原理和工具一、引言本文详细讨论了应编码密码的成因桅及治理方法,同时,本文从安全人员的角度出发,对现有的应编码密码检测工具的算法进行了深入调研,并提出了我们的自动化检测工具。3、为什么会用硬编码密码?根据统计,硬编码密码包括API、密钥访问token、非对称私钥、认正ID、安全证书、口令、特权、用户账户等类型。应编码密码所涉及的平台十分广泛,包括如下领域,1、开发工具,如djo rapid API 2、数据存储,如my SQL moo 3、金融服务,如paypa Amazon mbis 4、消息通讯系统,如gma telegram 5、云提供商,如e blue s ager Google私钥,6、社交媒体,如Twitter Facebook 7、版本控制平台,如giitub giit.
01:00
Lab等等。除了程序代码中,这些应编码还容易出现在基础设施配置、文件监控日志、运行日志、堆栈调试、track记录、giit历史中所有类别的硬编码密码都使企业暴露在攻击之下。4硬编码密码的典型桅。硬编码密码主要对安全和研发两方面具有桅1削弱系统安全性。攻击者常通过公共代码库或反编译分析获得硬编码密码字符串,利用密码访问敏感数据或获取敏感操作权限。攻击者还可以进一步扩大攻击范围,进行数据勒索、账户操纵、账户创建、通过用户数据进行利用等,使得企业和用户都遭受严重损失。二、不易于程序维护,硬编码、密码的修复较为困难。密码一旦被利用,无法轻易被修正,对于正在线上运行的服务或系统修复硬编码密码问题,需要停服重新发布。大型企业的服务流量较大,服务间还存在依赖,则需要灰度发布,修复流程更长,期间可能持续受到攻击者威胁。五、应编码密码的典型检测方法,正则表达式匹配1针对各种特定平台密码的表达式。下表列举了部分常用平台密码的类型以及正则表达式。
02:25
2熵字符串编码检测。在信息论概念中,熵是对不确定性的量度,越随机的数据的熵越高。大多数API密钥访问token等密码字符串具有高度熵的特性,因此可以通过搜索高熵字符串来检测密码。6美团的硬编码密码检测工具研发时间go-diger的架构主要分为四个拈核心引擎、转换器、检测器、过滤器、gold gun diger工作流程如下图,箭头表示数据流向。检测器和过滤器的主要处理流程如右图所示,预验证部分在检测器运行前对文件格式进行验证,删除、压缩文件、多媒体文件等非文本类型,后过滤部分在检测器运行后对所有密码后选值进行启发式过滤,并将过滤后的密码传回核心引擎。CCD集成gold gun diger的最终目标是消除代码中的密码泄露问题,因此检测到密码并不是最后一步。
03:29
修复才是最后一步。我们把gold g digger集成到公司研发环境CCD管道中,方便开发人员根据密码报告及时修复漏洞,从源头遏制风险。数据对比我们使用gold g digger与最先进的开源工具进行了对比。我们对内部服务代码进行了分析,将人工安全审计发现的密码作为测试基准,使用工具对代码进行测试并统计结果。
我来说两句