Nesta postagem eu vou estar falando um pouco sobre o tópico de "GitHub Hacking". Este assunto de explorar métodos públicos de pesquisa ja é um pouco batido (Ex: Google/Bing Hacking), porém, recentemente eu acabei descobrindo algumas das operações "avançadas" do GitHub. Eu vou demonstrar alguns exemplos interessantes de informações que podemos achar no GitHub.
Operadores avançados
Aqui vai a lista de alguns operadores avançados de pesquisa do GitHub
- extension: pesquisar por um tipo específico de arquivo
- language: linguagem específica de programação
- location: localização do usuário/repositório
- user: apenas arquivos de um determinado autor
Exemplos de utilização
Vamos começar pesquisando por repositórios de um determinado usuário.
Pesquisar por repositórios de um determinado país.
Pesquisar por repositórios em PHP de um determinado país
Procurando arquivos PHP com as palavras "connect" e "senha"
Encontrando vulnerabilidades em aplicações web (Zero Day ?)
Encontrando senhas de e-mail em arquivos PHP
Chaves privadas !?!?!?!
Arquivos de configurações com senhas !
Conclusões
Nesta postagem foi apresentado a exploração de alguns operadores do GitHub para realizar pesquisas avançadas. Esta postagem é um ótimo exemplo para alertar desenvolvedores sobre os perigos de publicar seus códigos em repositórios públicos na Internet.
