這篇文章主要介紹GitHound是一款什么工具，文中介紹的非常詳細(xì)，具有一定的參考價(jià)值，感興趣的小伙伴們一定要看完！

成都地區(qū)優(yōu)秀IDC服務(wù)器托管提供商(成都創(chuàng)新互聯(lián)公司).為客戶提供專業(yè)的服務(wù)器托管,四川各地服務(wù)器托管,服務(wù)器托管、多線服務(wù)器托管.托管咨詢專線：028-86922220

GitHound

   GitHound可以利用模式匹配、提交歷史樓所和一個(gè)獨(dú)特的結(jié)果評(píng)分系統(tǒng)來精確定位GitHub上的公開API密鑰，從本質(zhì)上來說，GitHound就是一款基于批量爬取、模式匹配和補(bǔ)丁攻擊的敏感數(shù)據(jù)搜索工具。

值得一提的是，目前為止在GitHound的幫助下，我已經(jīng)成功拿到了超過7500美元的漏洞獎(jiǎng)金了。

功能介紹

1、GitHub/Gist代碼搜索。這個(gè)功能將允許GitHound搜索GitHub中用戶上傳的所有代碼庫，并準(zhǔn)確定位到敏感信息所在的位置。

2、通用APK密鑰檢測，該功能使用了模式匹配、上下文檢索和香農(nóng)熵。

3、提交歷史搜索，該功能可以找到?jīng)]有正確刪除的敏感信息。

4、評(píng)分系統(tǒng)，可以返回更加準(zhǔn)確的結(jié)果，過濾常見的誤報(bào)，并優(yōu)化密集型代碼庫挖掘結(jié)果。

5、Base64檢測和解碼。

6、可將GitHound構(gòu)建整合進(jìn)我們自己的工作流中。

工具下載

廣大研究人員可以使用下列命令將GitHound項(xiàng)目源碼克隆至本地：

git clone https://github.com/tillson/git-hound.git

工具安裝

使用我們自己的GitHub用戶名和密碼創(chuàng)建一個(gè)./config.yml或~/.githound/config.yml文件，目前還不支持使用開啟了雙因素身份驗(yàn)證的賬號(hào)。

樣本config.example.yml文件格式如下：

# Requiredgithub_username: tillsongithub_password: a8ueifjq4jkasdfoiulk

然后運(yùn)行下列命令：

echo "tillsongalloway.com" | git-hound

工具使用

echo "tillsongalloway.com" | git-hound or git-hound --subdomain-file subdomains.txt

使用樣例

搜索公開的用戶API密鑰

通過了解特定服務(wù)的API密鑰的模式，我們將能夠使用GitHound來搜索GitHub中的這些公開用戶API密鑰。然后，我們可以將自定義的密鑰正則表達(dá)式整合進(jìn)我們的腳本中，然后針對(duì)目標(biāo)服務(wù)API密鑰來標(biāo)識(shí)有風(fēng)險(xiǎn)的賬戶。

echo "api.halcorp.biz" | githound --dig --many-results --regex-file halcorp-api-regexes.txt --results-only | python halapitester.py

漏洞獎(jiǎng)勵(lì)：搜索泄露的員工API令牌

對(duì)于我個(gè)人來說，GitHound的主要用途就是針對(duì)漏洞獎(jiǎng)勵(lì)計(jì)劃來搜索敏感信息。對(duì)于某些重要目標(biāo)，我們可以使用--many-results和--languages來搜索>100頁得結(jié)果。

echo "uberinternal.com" | githound --dig --many-results --languages common-languages.txt --threads 100

工具選項(xiàng)

--subdomain-file - 包含子域名的文件；

--dig-files - 克隆并搜索目標(biāo)代碼庫中的文件以獲取結(jié)果；

--dig-commits - 克隆并搜索目標(biāo)代碼庫中的提交歷史以獲取結(jié)果；

--many-results - 使用結(jié)果排序和過濾搜索超過100頁的結(jié)果；

--results-only - 僅將正則匹配得結(jié)果打印到stdout，用于將自定義正則表達(dá)式匹配項(xiàng)管道化到另一個(gè)腳本中；

--no-repos - 指定不需要搜索的代碼庫；

--no-gists - 指定不需要搜索的Gist；

--threads -指定提交挖掘程序要使用的最大線程數(shù)；

--regex-file - 提供自定義正則表達(dá)式文件；

--language-file - 提供帶有要搜索的語言的自定義文件；

--config-file - 自定義配置文件（默認(rèn)為config.yml）；

--pages - 要搜索的最大頁面數(shù)（默認(rèn)值為100）；

--no-scoring - 不使用評(píng)分來過濾假陽性；

--no-api-keys - 不執(zhí)行通用api密鑰搜索。GitHound使用常見的API密鑰模式、上下文檢索和香濃熵過濾器來查找潛在的公開API密鑰；

--no-files - 不標(biāo)記感興趣的文件擴(kuò)展名；

--only-filtered - 僅搜索篩選查詢（語言）；

--debug - 打印詳細(xì)的調(diào)試消息；

以上是“GitHound是一款什么工具”這篇文章的所有內(nèi)容，感謝各位的閱讀！希望分享的內(nèi)容對(duì)大家有幫助，更多相關(guān)知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！

網(wǎng)站名稱：GitHound是一款什么工具
分享路徑：http://www.chinadenli.net/article14/gciige.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供自適應(yīng)網(wǎng)站、搜索引擎優(yōu)化、網(wǎng)站排名、標(biāo)簽優(yōu)化、企業(yè)網(wǎng)站制作、軟件開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)