寻找API Keys|Access Key|token的GitHub搜索语法

admin 2024年5月17日21:00:45评论62 views字数 1805阅读6分1秒阅读模式

0x0前言

作为一名安全专业人员,进行彻底的侦察是非常重要的。随着API的广泛使用,保持访问令牌和其他与API相关的机密信息的安全性变得至关重要。然而,尽管技术进步,但人为错误仍然是一个因素,许多开发人员仍然会无意中将他们的API机密信息硬编码到源代码中并提交到公共存储库中。GitHub作为一个广泛流行的公共代码存储平台,可能会不经意地托管这些泄露的机密信息。为了帮助识别这些漏洞,我已经创建了一个全面的搜索列表,使用强大的搜索语法,可以在单个搜索中搜索数千个泄露的密钥和机密信息。公众号后台回复"密钥搜索"直接获取各类泄露的"Access Key"。例如OpenAI,谷歌云等

0x1搜索语法

(path:*.{File_extension1} OR path:*.{File_extension-N}) AND ({Keyname1} OR {Keyname-N}) AND (({Signature/pattern1} OR {Signature/pattern-N}) AND ({PlatformTag1} OR {PlatformTag-N}))

让我们来详细解释这段搜索语法 他可以直接在github上进行搜索

  1. (path:*.{File_extension1} OR path:*.{File_extension-N}): 这部分是用于指定文件路径或扩展名的条件。它使用了通配符*,表示匹配所有路径,然后使用{File_extension1}{File_extension-N}来列举多个文件扩展名。这意味着搜索将包括所有具有这些文件扩展名的文件。

  2. ({Keyname1} OR {Keyname-N}): 这部分用于指定关键字或关键词的条件。它列举了多个关键词,包括{Keyname1}{Keyname-N}。搜索将包括包含这些关键词的文件或数据。

  3. (({Signature/pattern1} OR {Signature/pattern-N}) AND ({PlatformTag1} OR {PlatformTag-N})): 这是一个更复杂的条件,它包括两个部分。首先,({Signature/pattern1} OR {Signature/pattern-N}) 表示要搜索的文件应该包含 {Signature/pattern1}{Signature/pattern-N} 中的至少一个签名或模式。其次,({PlatformTag1} OR {PlatformTag-N}) 表示文件应该包含 {PlatformTag1}{PlatformTag-N} 中的至少一个平台标签

举个栗子

(path:*.xml OR path:*.json OR path:*.properties OR path:*.sql OR path:*.txt OR path:*.log OR path:*.tmp OR path:*.backup OR path:*.bak OR path:*.enc OR path:*.yml OR path:*.yaml OR path:*.toml OR path:*.ini OR path:*.config OR path:*.conf OR path:*.cfg OR path:*.env OR path:*.envrc OR path:*.prod OR path:*.secret OR path:*.private OR path:*.key) AND (access_key OR secret_key OR access_token OR api_key OR apikey OR api_secret OR apiSecret OR app_secret OR application_key OR app_key OR appkey OR auth_token OR authsecret) AND (AIza AND Google)

上面这段搜索语法用于搜索github上的敏感密钥,请看下面的图,分别为谷歌云和openAi的密钥泄露

遥遥领先!寻找API Keys|Access Key|token的GitHub搜索语法

遥遥领先!寻找API Keys|Access Key|token的GitHub搜索语法

可以看到,我通过语法已经搜索到了谷歌云和openAI的密钥,而且数量很大。

0x2思路拓展

上面的栗子只是抛砖引玉。利用场景可以是各大云AK的特征。不管是谷歌云,腾讯云,阿里云等各种云,都会有Access Key(AK),而经过笔者测试,GitHub上暴露了许多各大厂商的AK,相信各位师傅已经有了某些一键打穿云上内网的工具。

原文始发于微信公众号(X安全实验室):遥遥领先!寻找API Keys|Access Key|token的GitHub搜索语法

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月17日21:00:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   寻找API Keys|Access Key|token的GitHub搜索语法https://cn-sec.com/archives/2048894.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息