0x01 引子
先给不知道什么是Github的朋友们科普一下什么是Github
Github是一个分布式的版本控制系统,目前拥有140多万开发者用户。随着越来越多的应用程序转移到了云上,Github已经成为了管理软件开发以及发现已有代码的首选方法。
Github可以托管各种git库,并提供一个web界面,但与其它像 SourceForge或Google Code这样的服务不同,Github的独特卖点在于从另外一个项目进行分支的简易性。
关于Github的更多详情请见下面链接http://baike.baidu.com/view/3366456.htm?fr=aladdin
众所周知,当今是大数据时代,大规模数据泄露事情一直在发生,从未停止过,但有些人不知道的是很多时候一些敏感信息的泄露其实是我们自己无意中造成的,然而一个小疏忽,往往却造成一系列连锁反应……
Github上敏感信息的泄露,就是一个典型的例子,Github虽然方便开发者,但其中也埋藏着一些安全隐患,接下来我就跟大家分享一下我与Github的一些情一些事
0x02 #Github之邮件配置信息泄露#
很多网站及系统都会使用pop3和smtp发送来邮件,不少开发者由于安全意识不足会把相关的配置信息也放到Github上,所以如果这时候我们动用一下google搜索命令语句,构造一下关键字,就能把这些信息给找出来了。
我的各种姿势:
site:Github.com smtp
site:Github.com smtp @qq.com
site:Github.com smtp @126.com
site:Github.com smtp @163.com
site:Github.com smtp @sina.com.cn
site:Github.com smtp password
site:Github.com String password smtp
……
site:Github.com smtp @baidu.com
案例展示
0x0201.某著名互联网公司B一员工邮箱账号密码泄露
该公司另一员邮箱账号密码泄露
成功进入该公司某员工邮箱
0x0202.某程序员163邮箱账号密码泄露
0x0203.某程序员QQ邮箱账号密码泄露
成功登陆该QQ邮箱
邮件配置这块就举例这里为止了
0x03 #Github之数据库信息泄露#
我的各种姿势:
site:Github.com sa password
site:Github.com root password
site:Github.com User ID='sa';Password
……
案例展示:
0x0301.某国内著名互联网公司A内网mssql数据库账号密码泄露 sa权限(漫游内网大牛最喜欢了)
0x0302 某著名人才招聘公司内网mysql数据库账号密码泄露 roo权限(漫游内网大牛最喜欢了)
0x04 #Github之svn信息泄露#
我的各种姿势:
site:Github.com svn
site:Github.com svn username
site:Github.com svn password
site:Github.com svn username password
……
案例展示:
0x0401.又是某互联网公司B SVN信息泄露]
0x0402.某网站svn信息泄露
0x05 #Github之数据库备份文件#
我的姿势:
site:Github.com inurl:sql
……
这个往往能收到不少好东西
一个数据库备份文件 从而找到后台管理员账号密码 找到地址登陆后台这样的例子有不少
案例展示:挑了一个由于存放数据库备份文件导致泄露中国联通8000员工邮箱及手机号的案例
0x06 #Github之综合信息泄露#
我的各种姿势:
site:Github.com password
site:Github.com ftp ftppassword
site:Github.com 密码
site:Github.com 内部
……
太多太多了 就不一一列出来了 大家自由发挥
案例展示:
0x0601.试了一下 这个基本里面的密码基本失效了 就不打码了
如果别人在第一时间看到这份文件 危害就来了
0x0602.最后直接来个诈尸 当时翻到这份文件时简直是吓鸟了 密码简直太全了
上面三幅图帖的是关于此程序员的一系列密码泄露
试了服务器账号密码和微信公众平台,以及新浪微博官方账号全部正确,还可域名劫持,支付宝账号密码以及支付密码都有了,如果里面有钱可被瞬间盗走……
但作为一名白帽子,看到这样危害极大的信息泄露,当时马上通知该网站负责人修复……
End 大家有什么新姿势可以留言补充哈
0x07 结束语
呼吁广大使用Github平台的程序员要注意保护自己的信息安全问题,总而言之,安全无小事,……