GSIL：解密GitHub中的潜在威胁，全面防范敏感信息泄露漏洞-山海云端论坛

文章前言

GitHub作为开源代码平台，为程序员提供了一个学习交流的优越场所，并提供了丰富的便利功能。然而，若使用不当，例如将包含账号密码、密钥等配置文件的代码上传，将会导致攻击者发现并进一步利用这些泄露信息进行攻击测试，成为GitHub敏感信息泄露漏洞的典型案例。本文将介绍一款实用性较强的GitHub敏感信息收集利器——GSIL。

环境搭建

下载安装包

首先前往GitHub下载GSIL项目（地址：https://github.com/FeeiCN/GSIL）

之后解压到自己指定的文件夹目录下面：

安装依赖库

之后安装第三方依赖库（注意这里需要使用Python3环境来运行该项目）：

pip3 install -r requirements.txt

修改配置文件

config.gsil

之后便是修改配置文件，在这里我们需要自我注册2个新的QQ或者163或者其他的邮箱用来发送邮件和接受邮件，下面以QQ邮箱为例演示配置流程，首先我们先来看一下GSIL提供的默认的配置文件：


[mail]
host : smtp.exmail.qq.com  
port : 465
mails : 21xxxxxxx64@qq.com
from : GSIL
password : your_password
to : feei@feei.cn
cc : feei@feei.cn

[github]
clone : false
tokens : your_github_token

上面的mail中的host为邮件服务器的host地址，port为端口号，mails为你的邮件地址(发送邮件)，password为授权码，具体获取方式如下：

设置——》账户，在该页面中找到如下界面

之后点击开启POP3/SMTP服务并进行密保验证：

之后即可获得你的授权码

to这是配置接受邮件的邮箱地址，cc则是邮件抄送的接受地址，这里cc建议和to配置一样，如果有多个用户在用的话可以抄送多个~

最后则是GitHub的配置了，这里我们需要生成一个GitHub的token，具体流程如下：

访问如下链接：https://github.com/settings/tokens

输入密码进行验证

之后填写个人Access Token选项：

之后点击生成Token即可查看该Token：

最后完成配置文件如下：


[mail]
host : smtp.qq.com
port : 465
mails : 21*****4@qq.com
from : GSIL
password : zqbixxxxxxxh
to : h****y@163.com
cc : h****y@163.com

[github]
clone : false
tokens : cef****************************ad7

rules.gsil.example

该文件主要用于配置搜索规则，下面为官方给出的一个配置规则说明实例，用户可以更具需求来进行配置：


{
    # usually using the company name, used as the first parameter to open the scan(Example:`python gsil.py test`)
    "test": {
        # General use of product name
        "mogujie": {
            # Internal domain name of the company
            "\"mogujie.org\"": {
                # mode/ext options no need to configure by default
                "mode": "normal-match",
                "ext": "php,java,python,go,js,properties"
            },
            # Company code's characteristic code
            "copyright meili inc": {},
            # Internal host domain name
            "yewu1.db.mogujie.host": {},
            # External mailbox
            "mail.mogujie.com": {}
        },
        "meilishuo": {
            "meilishuo.org": {},
            "meilishuo.io": {}
        }
    }
}

实战操作

下面以OSS存储桶为例来搜索GitHub中泄露的OSS存储桶账户密码信息，首先我们跟新配置规则如下：


{
    "oss": {
        "oss": {
            "AccesskeySecret AccessKeyId oss": {
                "mode": "normal-match",
                "ext": "php,java,python,go,js,properties"
            }
        }
    }
}

之后我们查看一下GitHub的token是否可以使用（如果不可以使用则使用之前介绍的流程重新生成一个token即可）

之后使用Python3运行该项目并且添加搜索配置的名称，之后就开始调用GitHub的相关查询接口来更具搜索匹配规则来进行匹配查询信息：

之后你会在你之前配置文件中配置的接受邮箱中收到查询到的信息：

之后查看邮箱详情即可看到相关的OSS链接敏感信息

点击链接即可查看GitHub中的源文件信息

之后使用oss-browser来链接看看：

发现可以成功接入并且可以查看敏感信息

还有其他的就不一一列举了，总之这款工具还是挺强大的~

PS：在默认情况下该工具只会再搜素结果中匹配前200项的内容，但我们可以修改文件来更改搜索的范围页数等

参考链接

https://feei.cn/gsil/

https://github.com/FeeiCN/GSIL

版权声明 1 本网站名称：山海云端-专注于PHP与网络安全
2 本站永久网址：www.shserve.cn
3 本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长 QQ1790643379进行删除处理。
4 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5 本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6 本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END