Trufflehog 找不到硬编码的密码和秘密

问题描述 投票:0回答:2

我正在使用 

trufflehog_3.33.0_linux_amd64.tar.gz
来检测密码和令牌。

实际上我有硬编码的令牌和密码并将它们提交到我的 github 存储库中。但是当我尝试扫描时,它没有找到令牌和密码。

$ ./trufflehog git [email protected]:org-demo/test.git --only-verified
2023-05-02T09:57:50+05:30       info-0  trufflehog      loaded decoders {"count": 3}
2023-05-02T09:57:50+05:30       info-0  trufflehog      loaded detectors        {"total": 737, "verification_enabled": 737, "verification_disabled": 0}
2023-05-02T09:57:50+05:30       info-0  trufflehog      possible duplicate detector configured  {"detector": "Square"}
🐷🔑🐷  TruffleHog. Unearth your secrets. 🐷🔑🐷

以上命令找不到密码和令牌。但在我的存储库文件中,我在几个文件中有如下密码和令牌。

USERNAME="user"
PASSWORD="password"

HTTP_USER="user1"
HTTP_TOKEN="DRFuteQw$#riYhte69AwerDdf-$"

我可以知道我的命令有什么问题吗?为什么找不到自定义硬编码密码和令牌?

如有任何帮助,我们将不胜感激

security passwords devops devsecops
2个回答
3
投票

Trufflehog 并不旨在检测像 

const myPass = abc123
这样的独立密码。您可以在不可能找到每个漏洞,因此我们不会尝试中了解他们的方法。

在这里您可以看到他们当前拥有的所有探测器。

他们可以检测例如:

  • 泄露的 SSH 密钥,例如 这个

  • 数据库 URI,如 

    mongodb+srv://my-user:[email protected]/

  • 像 Netlify 

    abc12345abc12345abc12345abc12345abc12345abc
    这样的令牌 - 如果您查看 Netlify 检测器的代码,您可以看到它们首先检查字符串“netlify”,然后才使用正则表达式搜索 Netlify 令牌。换句话说,如果您的代码库中有 Netlify 令牌,但周围没有字符串“netlify”,则它不会被捕获。

如果 Trufflehog 仍然没有为您检测到某些内容,请尝试省略 

--only-verified
甚至使用 
--no-verification
标志。 Trufflehog 尝试验证结果以限制误报(查看此处他们如何验证私钥是否可能被泄露)。

0
投票

查看 Strac - 他们在检测和修复秘密方面做得很好。博客文章:www.strac.io/blog/secret-scanning

此外,这是视频:https://youtu.be/fIS6cUS0n_E

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.