TL;DR: я построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты.
Рубрика «TruffleHog»
Призраки в коммитах: как я заработал $64 000 на удаленных файлах в Git
2025-06-10 в 9:27, admin, рубрики: bug bounty, TruffleHog, анализ репозиториев, баг-баунти на GitHub, безопасность github, восстановление файлов в git, инструменты багхантеров, сканирование репозиториев, удаленные объекты git, утечка секретовПоиск секретов в программном коде (по энтропии)
2024-08-16 в 17:02, admin, рубрики: detect-secrets, entropy, ggshield, gitleaks, nosey parker, pyWhat, Semgrep Secrets, tartufo, TruffleHog, биты энтропии, информационная энтропия, поиск секретов, теория информации, учетные данные, хартли, шенноны, энтропия
Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой энтропией. Предположительно, такие строки могут содержать секретную информацию: токены, пароли и др.
Подход логичный. Пароли и токены — это по определению строки с высокой энтропией, поскольку они создаются с помощью генераторов случайных или псевдослучайных чисел. Символы в такой последовательности в идеале непредсказуемы.
Читать полностью »