我們都聽過社會工程學(xué)這個名詞熊户,準(zhǔn)確來說途事,社會工程學(xué)不是一門科學(xué)验懊,而是一門藝術(shù)。而在社會工程學(xué)中尸变,對信息掌握的充分程度是其中的關(guān)鍵义图。不光是這,在其它很多領(lǐng)域里我們都需要盡可能的搜集多的信息召烂。
為了搜集更多的信息碱工,目前主流的搜索途徑有:
1.Google Hacking,這個就不必多說了奏夫,google強(qiáng)大的搜索引擎痛垛,只要會用,搜出來的真是超出意料桶蛔。(比如下面這個搜出來的名單匙头,包括身份證,手機(jī)仔雷,qq等信息應(yīng)有盡有)
2.Shodan蹂析,物聯(lián)網(wǎng)搜索引擎,是互聯(lián)網(wǎng)上最可怕的搜索引擎碟婆,搜索所有和互聯(lián)網(wǎng)關(guān)聯(lián)的服務(wù)器电抚、攝像頭、打印機(jī)竖共、路由器等等蝙叛。
3.ZoomEye,是知道創(chuàng)宇推出的一款網(wǎng)絡(luò)空間搜索引擎公给,探索互聯(lián)網(wǎng)設(shè)備和網(wǎng)站節(jié)點(diǎn)借帘,包括路由器、物聯(lián)網(wǎng)家電淌铐、平板電腦肺然、手機(jī)等,甚至還有監(jiān)控探頭腿准、工業(yè)控制中的SCADA系統(tǒng)等比較敏感的設(shè)備际起,可以說是國版Shodan。
4.社工庫,反正就是各種脫庫流出的數(shù)據(jù)街望,只能說數(shù)據(jù)泄漏無處不在校翔。。
上面都是一些廢話灾前,與本文無關(guān)防症。上面都是在不同層面上對信息的一種檢索,而本文則提供另一種思路豫柬,我們從另一個維度進(jìn)行探索——代碼搜索引擎。
Github Hacking
Github不僅能托管代碼扑浸,還能對代碼進(jìn)行搜索烧给,我們感受到了其便利的同時,也應(yīng)該時刻注意喝噪,當(dāng)你上傳并公開你的代碼時础嫡,一時大意,讓某些敏感的配置信息文件等暴露于眾酝惧。
讓我們從第一個例子開始榴鼎。當(dāng)搜索ssh password關(guān)鍵字時,其中里面有這樣一個有趣的結(jié)果:
好像是一個捷克教育科研網(wǎng)絡(luò)的晚唇,賬號密碼寫的這么簡潔明了巫财,于是登錄上去看一看。
是不是還挺歡樂的哩陕,早就有無數(shù)人登陸過了平项,還有人留下文本善意提醒。這意味著什么悍及,Github早已被盯上闽瓢,也許下一個大事件會是某漏洞導(dǎo)致Github私有庫代碼大量泄漏。
當(dāng)我們在Github上搜索時心赶,我們到底能搜到什么
能搜到的東西很多扣讼,這里只是給個思路,具體怎么玩自己去嘗試缨叫。
郵箱
比如說以mail password關(guān)鍵字搜索:
搜索很多郵箱的帳號密碼椭符,這里就不一一列舉了。
如果說用@qq.com或者是@gmail.com等各種郵箱后綴為關(guān)鍵字進(jìn)行搜索耻姥,你會發(fā)現(xiàn)某商戶收集的客戶qq信息:
各種賬號密碼
Github上能搜到的賬號密碼實在是太多了艰山,篩選一下你會發(fā)現(xiàn)很多有意思的。比如說有微信公眾平臺帳號:
居然連Github的登陸帳號也放在上面咏闪。曙搬。
各種VIP
萬萬沒想到啊,沒想到Github上還有這等福利!
百度云
盡管大部分鏈接已經(jīng)失效纵装,但是好資源還是有的征讲。
簡歷
沒想到還有很多人把包含個人信息的如此重要的簡歷也放在了Github上。搜索相關(guān)關(guān)鍵字resume橡娄,簡歷诗箍,學(xué)歷:
其它
比如說有時候我需要微信開放平臺的應(yīng)用AppID(太懶,不想申請)挽唉,于是搜索關(guān)鍵字WXApi registerApp滤祖,出來很多:
總之,鑒于越來越多人開始使用Github(非碼農(nóng)瓶籽,比如說科學(xué)家匠童,作家,音樂制作人塑顺,會計等職業(yè))汤求,你可以在Github搜的內(nèi)容也越來越多,不僅僅是代碼严拒,簡直什么都有扬绪,什么某人做的筆記啊,寫的小說啊裤唠,自拍照啊挤牛,還有書籍,論文等种蘸,簡直出乎意料赊颠。
是時候該做點(diǎn)什么了
沒錯,當(dāng)你看完本文劈彪,在以后上傳項目代碼時注意一下竣蹦,以免泄露敏感信息;如果已經(jīng)有帳號密碼在上面了就趕快去修改吧沧奴。
最后痘括,歡迎關(guān)注我的微信公眾號:urinx
