1.8 KiB
Git
{{#include ../../banners/hacktricks-training.md}}
Aby zrzucić folder .git z URL, użyj https://github.com/arthaud/git-dumper
Użyj https://www.gitkraken.com/ do inspekcji zawartości
Jeśli w aplikacji internetowej znajdziesz katalog .git, możesz pobrać całą zawartość używając wget -r http://web.com/.git. Następnie możesz zobaczyć wprowadzone zmiany używając git diff.
Narzędzia: Git-Money, DVCS-Pillage i GitTools mogą być używane do odzyskiwania zawartości katalogu git.
Narzędzie https://github.com/cve-search/git-vuln-finder może być używane do wyszukiwania CVE i wiadomości o lukach w zabezpieczeniach w wiadomościach commitów.
Narzędzie https://github.com/michenriksen/gitrob przeszukuje wrażliwe dane w repozytoriach organizacji i jej pracowników.
Repo security scanner to narzędzie oparte na wierszu poleceń, które zostało napisane z jednym celem: pomóc Ci odkryć sekrety GitHub, które deweloperzy przypadkowo ujawnili, przesyłając wrażliwe dane. I podobnie jak inne, pomoże Ci znaleźć hasła, klucze prywatne, nazwy użytkowników, tokeny i inne.
TruffleHog przeszukuje repozytoria GitHub i bada historię commitów oraz gałęzie, szukając przypadkowo zatwierdzonych sekretów.
Tutaj możesz znaleźć badanie na temat github dorks: https://securitytrails.com/blog/github-dorks
{{#include ../../banners/hacktricks-training.md}}