Почему любой может получить доступ к удаленным или приватным репозиториям на Github
#github #trufflesecurity
Вы можете получить доступ к данным из удаленных форков, удаленных репозиториев и даже из личных репозиториев на GitHub. Эти данные доступны навсегда. Это известно GitHub и намеренно спроектировано таким образом.
Это является огромным вектором атаки для всех организаций, использующих GitHub, что мы вводим новый термин: Cross Fork Object Reference (CFOR). Уязвимость CFOR возникает, когда один форк репозитория может получить доступ к чувствительным данным из другого форка (включая данные из частных и удаленных форков). Аналогично уязвимости Insecure Direct Object Reference (IDOR), в CFOR пользователи предоставляют хэши коммитов для прямого доступа к данным коммитов, которые в противном случае не были бы им видны.
Вектора атак:
Accessing Deleted Fork Data
Accessing Deleted Repo Data
Accessing Private Repo Data
➡️ Читать подробнее
🌚 @poxek | 📹 YouTube
#github #trufflesecurity
Вы можете получить доступ к данным из удаленных форков, удаленных репозиториев и даже из личных репозиториев на GitHub. Эти данные доступны навсегда. Это известно GitHub и намеренно спроектировано таким образом.
Это является огромным вектором атаки для всех организаций, использующих GitHub, что мы вводим новый термин: Cross Fork Object Reference (CFOR). Уязвимость CFOR возникает, когда один форк репозитория может получить доступ к чувствительным данным из другого форка (включая данные из частных и удаленных форков). Аналогично уязвимости Insecure Direct Object Reference (IDOR), в CFOR пользователи предоставляют хэши коммитов для прямого доступа к данным коммитов, которые в противном случае не были бы им видны.
Вектора атак:
Accessing Deleted Fork Data
Accessing Deleted Repo Data
Accessing Private Repo Data
Please open Telegram to view this post
VIEW IN TELEGRAM
Привет, Похекеры! Сегодня у нас на разделочной доске новая тулза от Synacktiv – Octoscan. Если вам, как и мне, приходиться копаться в GitHub в поисках секретов/API ключей или иных недосмотров разрабов, то этот инструмент точно для вас.
Octoscan – это скрипт на Golang, который автоматизирует процесс сбора информации о GitHub-организациях и пользователях. Зачем это нужно?☯️ Ну, представьте, что вы пентестите компанию и хотите узнать, какие репозитории они используют, какие сотрудники имеют доступ к критически важным данным, какие секреты случайно закоммитили в публичные репозитории (дада, такое ещё бывает). Octoscan поможет вам собрать все эти данные в одном месте.
➡️ Что умеет Octoscan?
▪️ Собирает информацию об организациях: список репозиториев, участников, команд.
▪️ Ищет секреты в коде: API-ключи, пароли, токены.
▪️ Анализирует историю коммитов: выявляет потенциально уязвимые места.
▪️ Генерирует отчеты в формате JSON и Markdown.
Как это работает?
Octoscan использует API GitHub для сбора информации. Вам понадобится токен доступа, чтобы не упираться в лимиты API. Скрипт довольно прост в установке и использовании:
Установка из сорцов:
Установка через докер:
Использование:
➡️ Почему это круто?
Octoscan экономит кучу времени при проведении разведки в GitHub. Вместо того, чтобы вручную перебирать репозитории и профили пользователей, вы можете получить всю необходимую информацию за несколько минут. Это особенно полезно при пентесте больших организаций с множеством репозиториев.
➡️ Для кого это?
Пентестеры: для автоматизации сбора информации о целях.
Багхантеры: для поиска уязвимостей в публичных репозиториях.
DevSecOps: для мониторинга репозиториев на наличие секретов и уязвимостей.
➡️ Что касается аналогов, вот несколько альтернативных инструментов для GitHub reconnaissance:
GitGot (последнее обновление год назад): Инструмент для поиска конфиденциальной информации в публичных репозиториях GitHub.
Gitrob (официально в архиве с 2023 года): Инструмент для поиска потенциально конфиденциальных файлов, закоммиченных в публичные репозитории.
TruffleHog (классика, но немного не та направленность): Сканирует репозитории на предмет секретов, используя энтропию и регулярные выражения.
Gitleaks (классика, но немного не та направленность): Инструмент для обнаружения хардкоженных секретов и других конфиденциальных данных в Git-репозиториях.
p.s. octoscan получил последнее обновление месяц назад :)
➡️ Ссылка на репозиторий: https://github.com/synacktiv/octoscan
#pentest #github #reconnaissance #security #infosec #CICD #appsec #devsecops
Octoscan – это скрипт на Golang, который автоматизирует процесс сбора информации о GitHub-организациях и пользователях. Зачем это нужно?
Как это работает?
Octoscan использует API GitHub для сбора информации. Вам понадобится токен доступа, чтобы не упираться в лимиты API. Скрипт довольно прост в установке и использовании:
Установка из сорцов:
go mod tidy; go buildУстановка через докер:
docker pull ghcr.io/synacktiv/octoscan:latestИспользование:
octoscan dl --token ghp_<token> --org apache --repo incubator-answerOctoscan экономит кучу времени при проведении разведки в GitHub. Вместо того, чтобы вручную перебирать репозитории и профили пользователей, вы можете получить всю необходимую информацию за несколько минут. Это особенно полезно при пентесте больших организаций с множеством репозиториев.
Пентестеры: для автоматизации сбора информации о целях.
Багхантеры: для поиска уязвимостей в публичных репозиториях.
DevSecOps: для мониторинга репозиториев на наличие секретов и уязвимостей.
GitGot (последнее обновление год назад): Инструмент для поиска конфиденциальной информации в публичных репозиториях GitHub.
Gitrob (официально в архиве с 2023 года): Инструмент для поиска потенциально конфиденциальных файлов, закоммиченных в публичные репозитории.
TruffleHog (классика, но немного не та направленность): Сканирует репозитории на предмет секретов, используя энтропию и регулярные выражения.
Gitleaks (классика, но немного не та направленность): Инструмент для обнаружения хардкоженных секретов и других конфиденциальных данных в Git-репозиториях.
#pentest #github #reconnaissance #security #infosec #CICD #appsec #devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
Как мы взломали цепочку поставок и получили 50 тысяч долларов
#docker #DevOps #bugbounty #багбаунти #github
Прикольная статья про то, как два француза соревновались друг с другом за крутое Баунти и место в лидерборде HackerOne и как в итоге пришли к сотрудничеству)
Ребята захотели сделать что-то нереальное и реализовать один из сложных векторов для RCE через Supply Chain Attack. Они узнали, что компания недавно купила другую дочернюю компанию и они предположили, что там могут быть хреновые процессы и за ними меньше следят, собственно они не прогадали)
➡️ Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#docker #DevOps #bugbounty #багбаунти #github
Прикольная статья про то, как два француза соревновались друг с другом за крутое Баунти и место в лидерборде HackerOne и как в итоге пришли к сотрудничеству)
Ребята захотели сделать что-то нереальное и реализовать один из сложных векторов для RCE через Supply Chain Attack. Они узнали, что компания недавно купила другую дочернюю компанию и они предположили, что там могут быть хреновые процессы и за ними меньше следят, собственно они не прогадали)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12🌚2❤🔥1