GitHub Commit Crawler

Автор: Chris Sandulow
URL: https://github.com/jfalken/github_commit_crawler
Система: Windows/Mac

GitHub Commit Crawler — инструмент, написанный на Python, для непрерывного мониторинга GitHub на предмет ошибочных, уязвимых и подозрительных public-коммитов в проекты.

Инструмент перечисляет членов определенного/заданного репозитория, смотрит на их публичные коммиты и парсит их на заданные ключевые слова, совпадения по регулярным выражениям, которые могут содержать важную информацию (например, API-ключи, PGP private ключи, логины и пароли). Запуск идет через заданный промежуток времени (например, через каждые тридцать минут).

Для простоты установки и использования тулза распространяется в виде docker-контейнера.

Устанавливается следующим образом:

# docker pull jfalken/github-commit-crawler
# docker run -d -p 5000:5000 jfalken/github-commit-crawler

После этого можно подключиться через http://localhost:5000 или локальный IP.

Результат работы сохраняется в MongoDB и отображается через веб-интерфейс, где есть суперполезная кнопка Diff, которая отображает различие коммитов и вхождение искомых ключевых слов.

Принцип работы как чрезвычайно прост, так и эффективен. Очень часто по спешке или банальному незнанию в коммиты уходит критически важная информация. Порой она лежит в комментариях или в виде вшитых аутентификационных данных внутренней инфраструктуры, которую забыли удалить после фазы тестирования.

 

Yasuo

Автор: 0xsauby
URL: https://github.com/0xsauby/yasuo
Система: Windows/Linux

Разработчики часто используют сторонние элементы, не особо задумываясь об их безопасности и о том, как они могут в конечном итоге повлиять на безопасность всего проекта. Такое положение дел часто приводит к удаленной компрометации сервера через публичную уязвимость в хорошо известном сервисе. Это, к примеру, могут быть уязвимости в административной панели Apache Tomcat, JBoss JMX console, Hudson Jenkins.

Если полазить по exploit-db и поискать там подобные уязвимости, то можно найти более 10 тысяч удаленно эксплуатируемых уязвимостей, приводящих к полной компрометации сервера, в сотнях веб-приложений (фронтендах и бэкендах). Это RCE, неаутентифицированная заливка файлов, SQLi или RFI/LFI и так далее.

Yasuo — это Ruby-скрипт, который сканирует веб-проекты на уязвимые сторонние расширения, библиотеки, в общем, 3rd party элементы. Он быстро сканирует сеть на наличие таких сторонних компонентов и предоставляет возможность эксплуатации в них уязвимостей.

Для установки потребуются следующие гемы:

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


Оставить мнение

Check Also

Хак-группа Orangeworm заражает рентгены и МРТ-сканеры, чтобы добраться до ценных данных

Исследователи Symantec опубликовали отчет о деятельности хакерской группы Orangeworm. Груп…