Github敏感信息泄露监控
如果无法正常显示,请先停止浏览器的去广告插件。
1. Github敏敏感信息泄露露监控
止止介 <feei@feei.cn>
Feei <feei@feei.cn>
2. 介绍
吴止止介(Feei)
‣
‣
‣
白白帽子子
美丽联合集团 安全项目目总监
专注漏漏洞洞自自动化发现与防御
Feei <feei@feei.cn>
3. 议程
‣
‣
‣
‣
‣
‣
‣
背景
爬取方方案
特征思路路
规则设计
报告
误报
未来
Feei <feei@feei.cn>
4. 背景
以技术手手段杜绝由于员工工意识问题导致的Github敏敏感信息泄露露
Feei <feei@feei.cn>
5. 爬取
爬取方方案
Proxy+Page vs Token+API
Feei <feei@feei.cn>
6. 爬取
准实时与频率限制的取舍
CORP * RULES(N1) * (SEARCH +
PAGES(N2) + ( PAGE_LIST + HTML_URL + SHA + PATH + FULL_NAME +
CONTENT ) * PER_PAGE(N3))
N1= ?, N2 = 20, N3 = 50
Token Max Requests(5000) / Single Rule
Requests(320) = Rules(15)
Feei <feei@feei.cn>
7. 内部特征 - 域名反查
通用用内网网域名特征
.net alipay.net taobao.net
qihoo.net elenet.me
后缀 mogujie.org tuniu.org
dianrong.io bilibili.co
inc meili-inc.com sohu-inc.com
alibaba-inc.com cainiao-inc.com
corp ctripcorp.com
相似 wemomo.com
Feei <feei@feei.cn>
8. 内部特征 - Github模糊查询
通用用模糊搜索词
domain.tld corp
domain.tld dev
domain.tld inc
domain.tld pre
domain.tld test
domain inc
domain copyright
Feei <feei@feei.cn>
9. 内部特征
Meili-Inc
内部域名 mogujie.org / meili-inc.com
对外邮箱 mail.mogujie.com
Feei <feei@feei.cn>
10. 内部特征
iQIYI
代码注释 IQIYI Inc
内部域名 qiyi.domain
主机 qiyi.virtual
数据库 qiyi.db
对外邮箱 mail.iqiyi.com
Feei <feei@feei.cn>
11. 内部特征
Baidu
代码注释 @baidu.com
Baidu, Inc
内部域名 vm.baidu.com / epc.baidu.com
iwm.name
主机 vm.baidu.com / nj01.baidu.com
sh01.dba-nuomi-bgoods.sh01
数据库 xdb.all.serv
db-dba-dbbk-001.db01
对外邮箱 smtp.baidu.com
Feei <feei@feei.cn>
12. 内部特征
Other
京东 jd.local 携程 ctripcorp.com
360 qihoo.net 去哪儿儿 qunar.net
搜狐 sohuno.com 支支付宝 alipay.net
苏宁 cnsuning.com 淘宝 taobao.net
陌陌 wemomo.com 小小米米 mioffice.cn
饿了了么 elenet.me 菜⻦鸟 cainiao-inc
Feei <feei@feei.cn>
13. 通用特征
企业邮箱 exmail.qq.com qiye.163.com 263.net mxhichina.com
icoremail.net …
私密文文档 账号 密码
微信密钥 appid appsecret
QCloud密钥 privatekey publickey
Feei <feei@feei.cn>
14. 搜索特性
强制搜索 加引号,比比如”meili-inc.com”
横杠默认不不匹配 使用用”meili-inc.com”搜索不不出,使用用”meili inc.com”则可以
分词特性 appsecret
Feei <feei@feei.cn>
15. 规则设计
Keywords
Mode
Extension
多个关键词可以用用空格,比比如‘账号 密码’;
某些关键字出现的结果非非常多,所以需要精确搜索时可以用用双引号括
起来,比比如‘”ele.me“’;
normal-match(default): 匹配包含keyword的行行行,并记录该行行行附近行行行
only-match:仅匹配包含keyword行行行
full-match: 搜出来的整个问题都算作结果
mail wechat qcloud
多个后缀可以使用用英文文半⻆角逗号(,)分隔,比比如’java,php,python‘
Feei <feei@feei.cn>
16. 报告
邮件
调快客户端收信的时间间隔
imap模式,保证各平台统一一处理理已读状态
可以提交或者可研究的打上标记
误报删除到垃圾桶,定期针对垃圾桶优化规则减少误报
对于邮件发送频率限制,可以多配置多个不不同运营商的发件账号
Feei <feei@feei.cn>
17. 误报
Exclude Repository Name
Github博客 github.io github.com
Android项目目 app/src/main
爬虫虫 crawler spider scrapy 爬虫虫
插件 surge adblock .pac
无无用用 linux_command_set domains jquery sdk linux contact
readme hosts authors .html .apk
Feei <feei@feei.cn>
18. 误报
Exclude Codes
Link <a href
<iframe src
](
无无用用 DOMAIN-SUFFIX 文文档 接口口 友情链接 官网网
Feei <feei@feei.cn>
19. 未来
1. 持续提升准确性
2. 实时性对抗
3. 扩充通用用类规则
1. DB
2. REDIS
3. SSH
Feei <feei@feei.cn>
20. Q&A
Feei <feei@feei.cn>