GitHub Commit Crawler

Автор: Chris Sandulow
URL: https://github.com/jfalken/github_commit_crawler
Система: Windows/Mac

GitHub Commit Crawler — инструмент, написанный на Python, для непрерывного мониторинга GitHub на предмет ошибочных, уязвимых и подозрительных public-коммитов в проекты.

Инструмент перечисляет членов определенного/заданного репозитория, смотрит на их публичные коммиты и парсит их на заданные ключевые слова, совпадения по регулярным выражениям, которые могут содержать важную информацию (например, API-ключи, PGP private ключи, логины и пароли). Запуск идет через заданный промежуток времени (например, через каждые тридцать минут).

Для простоты установки и использования тулза распространяется в виде docker-контейнера.

Устанавливается следующим образом:

# docker pull jfalken/github-commit-crawler
# docker run -d -p 5000:5000 jfalken/github-commit-crawler

После этого можно подключиться через http://localhost:5000 или локальный IP.

Результат работы сохраняется в MongoDB и отображается через веб-интерфейс, где есть суперполезная кнопка Diff, которая отображает различие коммитов и вхождение искомых ключевых слов.

Принцип работы как чрезвычайно прост, так и эффективен. Очень часто по спешке или банальному незнанию в коммиты уходит критически важная информация. Порой она лежит в комментариях или в виде вшитых аутентификационных данных внутренней инфраструктуры, которую забыли удалить после фазы тестирования.

 

Yasuo

Автор: 0xsauby
URL: https://github.com/0xsauby/yasuo
Система: Windows/Linux

Разработчики часто используют сторонние элементы, не особо задумываясь об их безопасности и о том, как они могут в конечном итоге повлиять на безопасность всего проекта. Такое положение дел часто приводит к удаленной компрометации сервера через публичную уязвимость в хорошо известном сервисе. Это, к примеру, могут быть уязвимости в административной панели Apache Tomcat, JBoss JMX console, Hudson Jenkins.

Если полазить по exploit-db и поискать там подобные уязвимости, то можно найти более 10 тысяч удаленно эксплуатируемых уязвимостей, приводящих к полной компрометации сервера, в сотнях веб-приложений (фронтендах и бэкендах). Это RCE, неаутентифицированная заливка файлов, SQLi или RFI/LFI и так далее.

Yasuo — это Ruby-скрипт, который сканирует веб-проекты на уязвимые сторонние расширения, библиотеки, в общем, 3rd party элементы. Он быстро сканирует сеть на наличие таких сторонних компонентов и предоставляет возможность эксплуатации в них уязвимостей.

Для установки потребуются следующие гемы:

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


Комментарии

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

WWW: Netsim — игра, которая поможет изучить работу сетей и принципы атак

Тем, кто только начал разбираться с хакерской кухней, не помешает узнать, как работают сет…