#багбаунти_на_github — Public Fediverse posts

[Перевод] «Призраки в коммитах 2»: пылесосим историю Git в поиске утекших секретов

В прошлом посте я рассказал, как заработал $64 000, восстанавливая удаленные файлы в публичных репозиториях на GitHub. В этот раз я пошел еще дальше: исследовал все коммиты за последние пять лет, «стертые» разработчиками через git push --force . Спойлер: GitHub помнит их все. В этой статье покажу, как я вычислял такие коммиты с помощью GitHub Archive и вытаскивал из них секреты. А еще поделюсь open-source инструментом, который позволит вам самостоятельно искать подобные утечки.

https://habr.com/ru/companies/bastion/articles/926994/

#багбаунти_на_github #trufflehog #утечка_секретов #инструменты_багхантера #коммиты_Git #висячие_коммиты #dangling_commits #сканирование_репозиториев #история_комитов #Force_Push_Scanner

[Перевод] «Призраки в коммитах 2»: пылесосим историю Git в поиске утекших секретов

В прошлом посте я рассказал, как заработал $64 000, восстанавливая удаленные файлы в публичных репозиториях на GitHub. В этот раз я пошел еще дальше: исследовал все коммиты за последние пять лет, «стертые» разработчиками через git push --force . Спойлер: GitHub помнит их все. В этой статье покажу, как я вычислял такие коммиты с помощью GitHub Archive и вытаскивал из них секреты. А еще поделюсь open-source инструментом, который позволит вам самостоятельно искать подобные утечки.

https://habr.com/ru/companies/bastion/articles/926994/

#багбаунти_на_github #trufflehog #утечка_секретов #инструменты_багхантера #коммиты_Git #висячие_коммиты #dangling_commits #сканирование_репозиториев #история_комитов #Force_Push_Scanner

[Перевод] «Призраки в коммитах 2»: пылесосим историю Git в поиске утекших секретов

В прошлом посте я рассказал, как заработал $64 000, восстанавливая удаленные файлы в публичных репозиториях на GitHub. В этот раз я пошел еще дальше: исследовал все коммиты за последние пять лет, «стертые» разработчиками через git push --force . Спойлер: GitHub помнит их все. В этой статье покажу, как я вычислял такие коммиты с помощью GitHub Archive и вытаскивал из них секреты. А еще поделюсь open-source инструментом, который позволит вам самостоятельно искать подобные утечки.

https://habr.com/ru/companies/bastion/articles/926994/

#багбаунти_на_github #trufflehog #утечка_секретов #инструменты_багхантера #коммиты_Git #висячие_коммиты #dangling_commits #сканирование_репозиториев #история_комитов #Force_Push_Scanner

[Перевод] «Призраки в коммитах 2»: пылесосим историю Git в поиске утекших секретов

В прошлом посте я рассказал, как заработал $64 000, восстанавливая удаленные файлы в публичных репозиториях на GitHub. В этот раз я пошел еще дальше: исследовал все коммиты за последние пять лет, «стертые» разработчиками через git push --force . Спойлер: GitHub помнит их все. В этой статье покажу, как я вычислял такие коммиты с помощью GitHub Archive и вытаскивал из них секреты. А еще поделюсь open-source инструментом, который позволит вам самостоятельно искать подобные утечки.

https://habr.com/ru/companies/bastion/articles/926994/

#багбаунти_на_github #trufflehog #утечка_секретов #инструменты_багхантера #коммиты_Git #висячие_коммиты #dangling_commits #сканирование_репозиториев #история_комитов #Force_Push_Scanner

[Перевод] Призраки в коммитах: как я заработал $64 000 на удаленных файлах в Git

Сегодня расскажу, как построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты. В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки. А когда сообщил компаниям об утечках, заработал более $64 000 на баг-баунти.

https://habr.com/ru/companies/bastion/articles/916752/

#удаленные_объекты_git #восстановление_файлов_в_git #bug_bounty #утечка_секретов #анализ_репозиториев #инструменты_багхантеров #багбаунти_на_GitHub #TruffleHog #сканирование_репозиториев #безопасность_github