quarta-feira, 4 de fevereiro de 2015

GitHub Hacking

Nesta postagem eu vou estar falando um pouco sobre o tópico de "GitHub Hacking". Este assunto de explorar métodos públicos de pesquisa ja é um pouco batido (Ex: Google/Bing Hacking), porém, recentemente eu acabei descobrindo algumas das operações "avançadas" do GitHub. Eu vou demonstrar alguns exemplos interessantes de informações que podemos achar no GitHub.

Operadores avançados


Aqui vai a lista de alguns operadores avançados de pesquisa do GitHub
  • extension: pesquisar por um tipo específico de arquivo
  • language: linguagem específica de programação
  • location: localização do usuário/repositório
  • user: apenas arquivos de um determinado autor

Exemplos de utilização


Vamos começar pesquisando por repositórios de um determinado usuário.


Pesquisar por repositórios de um determinado país.


Pesquisar por repositórios em PHP de um determinado país


Procurando arquivos PHP com as palavras "connect" e "senha"




Encontrando vulnerabilidades em aplicações web (Zero Day ?)


 Encontrando senhas de e-mail em arquivos PHP


Chaves privadas !?!?!?!


Arquivos de configurações com senhas !



Conclusões


Nesta postagem foi apresentado a exploração de alguns operadores do GitHub para realizar pesquisas avançadas. Esta postagem é um ótimo exemplo para alertar desenvolvedores sobre os perigos de publicar seus códigos em repositórios públicos na Internet.

2 comentários: