Trufflehog 找不到硬编码的密码和秘密

Trufflehog not finding hard-coded password & secrets

提问人:user4948798 提问时间:5/4/2023 最后编辑:user4948798 更新时间:5/29/2023 访问量:859

问:

我用来检测密码和令牌。trufflehog_3.33.0_linux_amd64.tar.gz

实际上,我有硬编码的令牌和密码,并将它们提交到我的github存储库中。但是当我尝试扫描时,它没有找到令牌和密码。

$ ./trufflehog git [email protected]:org-demo/test.git --only-verified
2023-05-02T09:57:50+05:30       info-0  trufflehog      loaded decoders {"count": 3}
2023-05-02T09:57:50+05:30       info-0  trufflehog      loaded detectors        {"total": 737, "verification_enabled": 737, "verification_disabled": 0}
2023-05-02T09:57:50+05:30       info-0  trufflehog      possible duplicate detector configured  {"detector": "Square"}
🐷🔑🐷  TruffleHog. Unearth your secrets. 🐷🔑🐷

上面的命令找不到密码和令牌。但是在我的存储库文件中,我在几个文件中都有密码和令牌,如下所示。

USERNAME="user"
PASSWORD="password"

HTTP_USER="user1"
HTTP_TOKEN="DRFuteQw$#riYhte69AwerDdf-$"

我能知道我的命令有什么问题吗?为什么它找不到自定义硬编码的密码和令牌?

任何帮助将不胜感激

安全 密码 DevOps DevSecops

评论

答:

2赞 Ales Trunda 5/29/2023 #1

Trufflehog 并不意味着检测像 这样的独立密码。您可以在不可能找到每个漏洞,所以我们不尝试中阅读有关他们的方法。const myPass = abc123

在这里,您可以看到他们当前拥有的所有探测器。

例如,它们可以检测到:

  • 这样泄露的 SSH 密钥

  • 数据库 URI,如mongodb+srv://my-user:[email protected]/

  • 像 Netlify 这样的代币 - 如果你看一下 Netlify 检测器的代码,你可以看到它们首先检查字符串“netlify”,然后才使用正则表达式搜索 Netlify 代币。换句话说,如果你的代码库中有 Netlify 令牌,但没有字符串“netlify”,它就不会被捕获。abc12345abc12345abc12345abc12345abc12345abc

如果 Trufflehog 仍然没有为您检测到某些内容,请尝试省略甚至使用 flag。Trufflehog 尝试验证结果以限制误报(在此处查看他们如何验证私钥是否可以泄露)。--only-verified--no-verification

上一个:使用 Ansible 生成具有非常特定属性的随机密码

下一个:Python、密码和安全性