系统开发人员缺乏足够的安全防范意识,将网站源代码放置在代码托管仓库,如GitHub、GitLab、码云Gitee等,并设置为公开的,这就导致任何人可以通过关键字搜索下载获取系统源代码,发现代码仓库中的敏感信息,这些代码中经常会存在一些敏感信息,比如网络入口,资产,用户名密码等,这些信息都可能会被攻击者利用来破坏系统。
互联网源代码泄露排查服务,通过定期爬取威胁源的方式,获取含有用户定义好的关键词的文件,帮助客户及时从外部视角发现代码泄露事件,识别并修补安全能力缺陷和短板。
泄露源:代码泄露的重要泄露源就是公开网络上的威胁源,其可能包含来自Gitlib、Github、码云、oschina、CSDN、百度网盘、百度文库等等,覆盖各个威胁源、社交媒体、云存储等。
检索方式:代码名称、代码内容、开发语言、标签、来源等。
3 排 查 方 法
3.1 确 定 用 户 的 关 键 信 息
基本信息:用户名称、域名、关键字、icon等,包含上述信息的缩写。
业务系统信息:业务名称、软件名称、关键字等,包含上述信息的缩写。
第三方厂商:系统开发厂商名称、项目名称等,包含上述信息的缩写。
对于越大的组织,进行越全面的监控,其数据量越庞大,一个具备一定规模的组织获取到的公共网络数据可能达到数千条以上。以往通过人工逐一筛查其风险性,效率极低且有可能遗漏本就不多的关键信息。所以对大量数据进行智能化的优先级排序就显得尤为重要,以及抽取关键信息,以供安全运维人员和安全专家进行高效研判,才能取得有效的成果和价值。
对发现的代码泄露进行人工确认和识别,主要通过代码关键段落的阅读,验证是否为用户的相关代码,了解上传时间等数据,同时通过截图等方式留存证据。
4 结 果 样 例
我们会逐步推出各种实践场景,欢迎关注!
叠加赋能、共建生态,打造精细化高效率分析引擎!
道长且阻、行则将至,做数字经济时代安全守望者!
watcherlab
做数字经济时代的安全守望者长按扫码可关注
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...