• INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG
HUMEDAL INFORMATIK·ZERBITZU TEKNIKOA
  • INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG

Herramienta de reconocimiento para organizaciones que tienen repositorios GitHub

7/31/2018

 
Imagen
A los desarrolladores generalmente les gusta compartir su código, y muchos de ellos lo hacen al abrirlo en GitHub, un servicio de alojamiento y colaboración de código social. Muchas compañías también usan GitHub como un lugar conveniente para alojar repositorios de códigos públicos y privados mediante la creación de organizaciones de GitHub donde se puede unir a los empleados.
A veces los empleados pueden publicar cosas que no deberían estar disponibles públicamente. Cosas que contienen información delicada o cosas que podrían incluso llevar al compromiso directo de un sistema. Esto puede suceder por accidente o porque el empleado no conoce la sensibilidad de la información.
Imagen
Gitrob es una herramienta de línea de comandos que puede ayudar a las organizaciones y a los profesionales de seguridad a encontrar esa información confidencial. La herramienta iterará sobre toda la organización pública y los repositorios de miembros, y hará coincidir los nombres de los archivos con un rango de patrones para archivos que generalmente contienen información sensible o peligrosa.

Buscar información delicada en repositorios de GitHub no es algo nuevo, se sabe desde hace tiempo que se pueden encontrar cosas como claves privadas y credenciales con la funcionalidad de búsqueda de GitHub, sin embargo, Gitrob hace que sea más fácil enfocar el esfuerzo en una organización específica. Lo primero que hace la herramienta es recopilar todos los repositorios públicos de la organización. A continuación, recoge a todos los miembros de la organización y sus repositorios públicos, a fin de compilar una lista de repositorios que podrían estar relacionados o tener relevancia para la organización.

Cuando se compila la lista de repositorios, procede a reunir todos los nombres de los archivos en cada repositorio y los ejecuta a través de una serie de observadores que marcarán los archivos, si coinciden con cualquier patrón de archivos confidenciales conocidos. Este paso puede demorar un tiempo si la organización es grande o si los miembros tienen muchos repositorios públicos.

Todos los miembros, repositorios y archivos se guardarán en una base de datos PostgreSQL. Cuando todo haya sido revisado, se iniciará un servidor web Sinatra localmente en la máquina, que servirá a una aplicación web simple para presentar los datos recopilados para el análisis. Los archivos interesantes en todos los repositorios se muestran en una lista para facilitar el análisis. El filtro rápido en la esquina superior derecha se puede usar para buscar archivos específicos. Al hacer clic en un archivo, se mostrará su contenido con resaltado de sintaxis. También mostrará por qué el archivo fue marcado. Los miembros de la organización se pueden ver en un diseño de cuadrícula. Los miembros con archivos interesantes son fáciles de detectar. Al hacer clic en un miembro, se mostrará su información básica y repositorios públicos. Los repositorios con hallazgos se resaltan con un fondo naranja. Todos los repositorios recopilados se pueden ver en una tabla con sus descripciones y URL de sitios web. Los repositorios con hallazgos se resaltan con un fondo naranja. Se pueden ver todos los archivos en un repositorio específico. El filtro rápido en la esquina superior derecha se puede usar para buscar archivos específicos.

Es una herramienta que se puede usar defensivamente y ofensivamente:
  • Defensivamente: Si usted es responsable de la seguridad en una empresa que utiliza GitHub para el código de hosting, Gitrob puede utilizarse para verificar periódicamente si su organización tiene algún archivo confidencial que pueda estar retenido en los repositorios.
  • Ofensivamente: Si estás en el lado ofensivo, como un probador de pentester profesional, Gitrob puede usarse en la etapa inicial de recopilación de información para buscar cualquier cosa que pueda proporcionarte un punto de apoyo o aumentar la superficie de ataque del objetivo. Gitrob también puede proporcionarle nombres de usuario, nombres, direcciones de correo electrónico y nombres de sistemas internos que son útiles en campañas de phishing y ataques de ingeniería social. Si tienes suerte, Gitrob incluso puede darte un completo engaño sin enviar un solo paquete malicioso a los sistemas del objetivo.

Los comentarios están cerrados.

    Autor

    HUMEDAL INFORMATIK
    zerbitzu teknikoa
    servicios informàticos

    Imagen

    Archivos

    Diciembre 2020
    Noviembre 2020
    Octubre 2020
    Septiembre 2020
    Agosto 2020
    Julio 2020
    Junio 2020
    Mayo 2020
    Abril 2020
    Marzo 2020
    Febrero 2020
    Enero 2020
    Diciembre 2019
    Noviembre 2019
    Octubre 2019
    Septiembre 2019
    Agosto 2019
    Julio 2019
    Junio 2019
    Mayo 2019
    Abril 2019
    Noviembre 2018
    Octubre 2018
    Agosto 2018
    Julio 2018
    Mayo 2018
    Abril 2018
    Marzo 2018
    Febrero 2018
    Enero 2018
    Diciembre 2017
    Noviembre 2017
    Octubre 2017
    Septiembre 2017
    Julio 2017
    Junio 2017
    Mayo 2017

    Categorías

    Todos
    Kuriositateak
    Mundo 3D
    Ordenagailuak
    Segurtasuna
    Software Libre
    Software-libre

    Fuente RSS

NON GAUDEN·DONDE ESTAMOS

humedalinformatik@gmail.com                               tlf: 945 770 617·688 844 108                   Bulevar de Salburua 5            Vitoria·Gasteiz        Euskal Herria
  • INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG