Github隐私信息溯源&反溯源

admin 2024年5月14日21:32:18评论2 views字数 903阅读3分0秒阅读模式

免责声明

文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。

场景介绍

在安全圈子,许多师傅都习惯复用自己的ID在社交软件、安全论坛、博客等作为账号的昵称,这个现象也成为在攻防演练中防守方扩大可溯源面的要素之一。

尤其在Github中如果没有及时修改账号默认的隐私配置,且习惯用QQ、手机号等容易跟敏感信息挂钩的特征邮箱进行注册的话,可能会导致红队人员在攻防演练中被溯源的几率大幅增加。

技术实现

通常情况下,在Github内的用户如果没有进行修改默认的隐私配置的话,当账号公开项目仓库的时候,任何人都可以通过项目修改记录Git信息头中查看到所包含的作者注册所用的邮箱信息。

定向溯源需要两个条件
条件1:获取到红队人员的Github昵称。
(常见情况下可以通过企业蜜罐接口以及其他溯源手段进行抓获)

条件2:目标人员Github用户存在公开项目仓库,且存在提交记录。

点击目标人员公开的项目仓库中的 commits 访问历史提交修改记录。

Github隐私信息溯源&反溯源

随意点击访问一条提交修改记录后的ID进行跳转到该记录的详细内容页面,获取该页面URL。

Github隐私信息溯源&反溯源
Github隐私信息溯源&反溯源

在URL后缀添加".patch"进行访问Git发布信息头

记录详细页面URL:
https://github.com/User/xxxxx/commit/xxxxxxxxxxxxxxxxxx

修改后:
https://github.com/User/xxxxx/commit/xxxxxxxxxxxxxxxxxx.patch
Github隐私信息溯源&反溯源

发布信息头包含该用户注册时所用的邮箱,当个人习惯将自己的QQ、手机号等作为邮箱进行注册时,QQ号、手机号与所关联的敏感信息被进一步溯源。

Github隐私信息溯源&反溯源

反溯源措施

应对措施也很简单,及时修改"用户设置"中默认的邮箱Email隐私配置,勾选"将我的电子邮箱隐藏",这时候Github会提供一个用户虚拟邮箱进行替换使用。Github隐私信息溯源&反溯源

再进行访问项目仓库提交记录的Git信息头内容时,邮箱内容已经替换成虚拟Github邮箱地址。

Github隐私信息溯源&反溯源

原文始发于微信公众号(划水但不摆烂):【攻防小词条03 | 红蓝对抗】Github隐私信息溯源&反溯源

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月14日21:32:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Github隐私信息溯源&反溯源https://cn-sec.com/archives/2066623.html

发表评论

匿名网友 填写信息