本文不触及常见的根据代码关键字匹配的GitHub监控。而是从GitHub的账户动身,经过人的联系来取得一些代码搜索不具有的优势。
疑云乍现
问题要从一个晴朗而又妩媚的下午说起,我喝着娃哈哈,看着自认为世界上更高雅的代码,可是当我上传到GitHub私有库房的时分,嘴角的一抹笑意停留在10秒24毫秒前的阳光下,由于我发现上传显现的用户并非是我,换句话说,commit页面并未显现我英俊的头像,我的工作第二灵敏性告诉我,这个工作有点奇怪:
a.这个人是谁?
b.我的机器被劫持了?
c.我的账户被黑了?
d.GitHub出问题了?
e.某些不知道原因?
a问题是比较好答复的,点进去发现是一个十分正常的用户,我总不至于被黑了,不可,工作庄严让我强制排除了这个选项,可是我比较关心的一个问题是ta是不是能看到我的代码?ta会不会由于如此高雅的代码而感到自惭形秽?所以随后出于对他情感的考虑先清空了自己的代码。
关于b,更换了多台机器,发现仍然具有相同的问题,相同出于工作庄严,我的机器不或许都被黑了,所以问题坚决不在b。
随后又细细过滤了最近的GitHub登录记载,c的或许性也被排除了;再问周围的童鞋,d的问题也被排除了。
现在只剩余e原因,可是这句话其实适当于没有说,由于全部不知道都能归结到不知道。
寻根究底
问题在这现已陷入了死胡同,简略描述下便是:由于某些不知道原因,我的GitHub的提交人变成了不知道的或人,并且在换了多台机器之后,问题仍然重复。一般遇到这种状况,我的习气都是从头整理整个流程,从大局剖析或许存在问题的环节。燃眉之急是需求从头整理下一切的流程,然后不断测验,那么问题来了,从编写代码到下载Git并运用Git提交到GitHub的流程是什么呢?
Git首要需求下载到本地,下载本地的时分需求运用HTTP协议,HTTP协议是根据TCP的,说到TCP,那么就要了解三次握手…….
半小时后……
看着16位微处理器芯片8086微处理器总线接口部分(BIU) 和履行部件(EU)常识的我……感觉再深挖下去估量要开端学习二氧化硅的化学反应了,呵,常识啊。
只好另辟蹊径,找了一个了解Git的强力外援,咱们先测验了……然后测验了……接着又测验了……总算功夫不负有心人,找到了最终的症结所在。不是故意越过这段,实在是这个进程乏善可陈。
总归看下边要点了:
这个问题引发的底子原因是运用某发行版源库房装置的Git默许内置了一个邮箱和用户名,然后GitHub在上传的时分辨认用户是默许经过Git中装备的邮箱来辨认,假运用户邮箱存在(在GitHub注册或许挂号)则显现匹配到的用户名,否则会显现Git装备中的用户名,验证之后发现这个邮箱纷歧定是注册邮箱,而是在设置里增加的都能够相关到,也便是刚刚说到的挂号邮箱,即便你没有验证邮箱的归属权限,如下图:
并且特别比较怪异的是运用Git config user.name和Git config user.email这两个指令检查均显现为空,就像这个指令从未履行相同,可是在运用Git log的时分才会真实显现提交本次commit的用户名和邮箱,也便是该发行版Git内置的缺省账户和邮箱。
拨云见日
上边说了那么多,那么这个东西有什么用呢?我一向秉承一个观念:安全总是跟场景相关的,所以要想知道这个有什么损害,首要需求做的便是想象一些可运用的场景。
在这里最根本的运用 *** 是能够假造别人去提交代码,可是这个对咱们来说其实并没有什么太大的用途。精确来说,更多有一种恶作剧的滋味。
那有没有什么其他的场景是比较有用的,其实在写这篇文章之前,我仍是比较犹疑的,众所周知,GitHub有许多用户提交了一些比较灵敏的东西,而作者是不想在实际中被发现的,可是上述说到这个接口,能够经过批量爆炸邮箱然后取得对应的用户名。那么也有或许取得了那些不愿意揭露自己身份用户的联系 *** 。
扯的有点远了,仍是回归到标题傍边GitHub监控的问题,当时GitHub监控一向是根据代码搜索中的关键字匹配,真的是谁用谁知道——那是适当的难用。所以现在许多人也是在爬虫和更好的过滤上下功夫。可是这个流程还有一个盲点存在,便是在发现违规上传的之一时间并不能特别精确的定位到详细的个人。
说完传统监控的缺点一起,咱们其实也找到了新的运用场景,由于入职信息挂号都会写到自己的常用邮箱(还没有入职,所以根本填写自己私家常用邮箱),那么能够经过这个接口来取得对应的用户账户,换句话说,安全团队根本就有了部分职工注册的GitHub账户,这个时分违规上传公司代码的监控是不是能够做一些分级办理,要点监控。并且更重要的一点,这也处理了发现问题简略、定位人员困难的问题。
至于操作进程,就适当简略了,新建一个项目,然后运用脚本修正自己用户邮箱进行commit,在这里我以修正自己的邮箱为例:
之后push到GitHub上去,最终在GitHub上就能够看到绑定了对应邮箱的用户,如下图(项目地址:https://github.com/daysdaysup/TSRC_TEST):
至于剩余的就不必再多说了。套用一句比较盛行的打油诗:懂的天然懂,刀剑侠客梦,事了拂衣去,深藏身与名。
最终特别称谢我的师兄吴恒,感谢他在编撰本文时供给的协助。
· 韩国加密钱银买卖所Bithumb遭黑客侵略,大约350亿韩元(约合2亿元人民币)的加密钱银被盗。 APT攻防的现状和趋势有多种体系或软件的弱口令遭受进犯,这儿勒索病毒最常用的是远程桌面登录弱口令。...
启动环境后,使用get方法传入/test/pathtraversal/master/..%252f..%252f..%252f..%252f../etc/passwd,即可读取到linux下passw...
又到周日了,时刻真是过的好快,就跟脱缰的野马相同,拼命的往前跑。今日咱们聊的论题呢,也跟马有关,不过这个码和那个马不相同,他叫验证码。 提到验证码,咱们到百度上随意一搜,就能搜到不可胜数的材料,阐...
巴基斯坦77% 敞开你的垃圾邮件过滤器。 简直每一个邮箱服务器都供给垃圾邮件过滤器和垃圾箱,运用垃圾箱能够按捺虚伪邮件的呈现。 呼应:Rips源代码审计体系是能够用于linux和windows上...
网贷教学,黑客联系网站,找黑客改成绩价格–exclude <主机1[,主机2][,主机3],…>: 扫除的IP或许网段base64_encode( hash( 明文, SALT ) + S...
GetResourceList(int32 host_id) => (array resources);2018年1- 12月,360要挟情报中心共监测到全球99个专业安排(含媒体)发布的各类A...