未加星标

这个工具可以清除软件代码项目中的硬编码密钥

字体大小 | |
[开发(python) 所属分类 开发(python) | 发布者 店小二04 | 时间 2017 | 作者 红领巾 ] 0人收藏点击收藏

Truffle Hog可以在源代码存储库内找到20个字符或以上的访问令牌和密钥


这个工具可以清除软件代码项目中的硬编码密钥

安全研究人员开发了一种新工具,这一工具可以自动检测软件项目中已被硬编码的敏感访问密钥。

这种名为Truffle Hog( https://github.com/dxa4481/truffleHog )的工具由美国研究员迪伦艾雷用python语言开发。它可以通过扫描源代码库里包含20以上字符的高熵值的字符串来搜寻硬编码的访问密钥。高香农熵,即我们通常所说的信息熵,得名于美国数学家克劳德E香农,它包含一定程度的随机性,这使它适合用于类似“访问令牌”等需要加密的信息。

软件项目各类服务里的硬编码访问令牌是公认的安全风险,黑客不需费太多力气便可获取。而且这种情况很常见。

2014年,一名研究者发现GitHub的可公开访问代码中遗留有近万的亚马逊的网络服务和弹性计算云的访问密钥。亚马逊自此开始搜寻并清除GitHub中此类密钥。

2015年,Detectify的研究人员在GitHub项目中发现了1500个开发人员硬编码产生的Slack令牌,其中很多令牌泄露了团队在Slack上的内部共享的聊天历史、文件、私人信息等敏感数据。

2015年,位于德国达姆施塔特的工业大学和弗劳恩霍夫信息安全研究所主持了一项研究,研究发现了存储在Android和iOS应用程序里的超过1000个后端即服务(BaaS)框架的访问凭证。通过这些凭证可以获得1850万条记录,其中包括存储在Facebook Parse、CloudMine或亚马逊网络服务等BaaS提供商的5600万数据项。

艾雷描述Truffle Hog时说,该工具将深入挖掘一个项目的提交历史和分支。它会评估为每一个使用base64编码和16进制所表示的大于20字符的字符串的香农熵。

该工具可在GitHub上下载,运行时需要加载GitPython库。公司和独立开发者可以赶在黑客之前,用它来检查自己的软件项目。

本文开发(python)相关术语:python基础教程 python多线程 web开发工程师 软件开发工程师 软件开发流程

分页:12
转载请注明
本文标题:这个工具可以清除软件代码项目中的硬编码密钥
本站链接:http://www.codesec.net/view/524405.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 开发(python) | 评论(0) | 阅读(63)