ソース:
訳:
Gist は、GitHub の一部であるコード共有プラットフォームで。
コード スニペット、メモ、その他の小さな情報を他のユーザーと共有でき。
偵察に Gist を使用する場合は、次の手順に従い。
Gist と GitHub で機密ファイルを見つけるためのヒントをいくつか紹介
- 検索演算子を使用する: 「filename:」、「extension:」、「path:」、「repo:」、「user:」などの 検索演算子を使用して、検索結果を絞り込み。
たとえば、「 filename:passwd」 という名前のファイルを持つ Gist を見つけることが を検索すると、 「passwd」 でき。 - 一般的なファイル名を検索する: 機密ファイルには、 「passwd」、「config」、「key」、「private」、「credentials」、「api_key」、「token」などの一般的な名前が付いていることがよくあって。 これらのファイル名を検索して 、潜在的な機密ファイルを見つけま。
- ファイル拡張子を探します。「.pem」、「.key」、「.crt」、「.cer」、「.p12」、「.jks」、「.keystore」、「.config」などの特定のファイル 拡張子。および「.xml」は、 ファイルに機密情報が含まれていることを示す場合があって。
これらのファイル拡張子を検索して、機密性の高いファイルを見つけ。 - のツールを使用して、 シークレットを確認する: Gitrob、truffleHog、 など GitLeaks のシークレットを探します Gist および GitHub リポジトリを スキャンして、API キー、パスワード、トークンなど 。
- パターンを探す: 機密ファイルには、 正規表現、構成ファイル形式、 コード スニペットなどの特定のパターンや構造が含まれていることがよくあり。
潜在的な機密ファイルを見つけるには、次のパターンを探してください。 - 作成したユーザーのプロフィールを確認して ユーザー プロファイルを確認する: Gist または リポジトリを 、過去に機密情報を共有したかどうかを確認し。
許可なく機密ファイルを検索したりアクセスしたりすることは違法で非倫理的であることに注意することが重要です。
アクセス許可のあるファイルにのみアクセスし、許可なく機密情報を共有しないで。
Gist と GitHub の検索機能を使用して機密ファイルを見つけるために使用できる、危険なコマンドを次に示します。
filename:config OR filename:.env OR filename:.pem OR filename:.key OR filename:database OR filename:password
このコマンドは、「config」、「.env」、「.pem」、「.key」、「database」、「password」など、指定されたファイル名のファイルを含む GitHub ドメイン上の Gist を検索し ます 。
このコマンドを使用するには、https://gist.github.com/search に移動し、検索バーに dorking コマンドを入力します。 検索結果には、条件に一致するすべての Gist が表示されます。
結論
Gist は、ユーザーがコード スニペット、構成、その他のテキスト ファイルを保存および共有できるようにする GitHub の便利な機能で。
ただし、他のオンライン プラットフォームと同様に、機密情報の共有に伴うセキュリティリスクを認識することが重要で。
dorking コマンドを使用して Gist や GitHub 上の機密ファイルを見つけることは可能ですが、この情報を倫理的に使用し、アクセス許可のあるファイルにのみアクセスすることが重要で。
最終的には、機密データを保護するための措置を講じ、オンラインでの情報共有に伴う潜在的なリスクを認識することが重要。
ほなほな。
