声明:文章只做技术交流,请勿用于非法用途
github 上的配置信息泄漏
GitHub是一个面向开源及私有软件项目的托管平台,因为只支持git 作为唯一的版本库格式进行托管,故名GitHub。
打开github官网。搜索字符串jdbc:mysql。
选择: code 和 Recently indexed。 这样就查询出含 jdbc:mysql的最新更新的代码。
图中可以看到,已经查到了腾讯云数据库连接地址和账号密码。
尝试使用 navicat 连接后,成功连接。
无论密码和用户名多复杂,一旦泄漏,也就没用了
当然,由于GitHub本身的搜索算法的原因,结果可能和我们想的不一样。但是手动查找后,还是能找到一些成果的。
*国内的码云也可以用类似的方法去搜索,不过效果不如GitHub。
日志文件泄漏
网络空间资产检索系统(FOFA)是世界上数据覆盖最完整的IT设备搜索引擎,拥有全球联网IT设备最全DNA信息。探索全球互联网的资产信息,进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。
打开FOFA搜索引擎,输入:body="log.txt" && country=CN。便可以查找到有关log.txt的IP。
点开一个可以看到:
当然,这个里面没有什么敏感的信息。细心去找的话,还是能找到不少的。
除了搜索日志,也可以搜索sql文件、后台路径等等。
除此之外,大家熟知的可能还有 google搜索、钟馗之眼等等,都可以用来搜索具有某种特征的IP,合理利用就可以查询到大量信息。所以,在日常工作生活中,需要多多注意一些敏感信息的使用,做好个人信息、公司信息的保护。