开源软件的第三个版本具有重要升级
最新版本的Trufflehog已经降落了超过600种关键类型,进一步提升了掌握凭证泄漏的工具的能力。
泄露的凭证,包括密钥对,是一个严重的网络安全问题。可以滥用钥匙来损害企业网络,通常更加隐蔽,而且需要较长的时间段而不是漏洞漏洞在流行的软件中。
可用的在github上,Trufflehog是一个开源项目工具,用于发现通过API中的JavaScript或太允许的CORS设置泄漏的键。
背景符合Trufflehog - 用于在JavaScript代码中查找秘密密钥的浏览器扩展
当网站或前端应用程序意外泄漏键时,系统可以提醒开发人员或研究人员。beplay体育能用吗Trufflehog还可用于查找公开的.git存储库凭据。
4月4日,Truffle Security联合创始人Dylan Ayrey说在博客帖子中The Trufflehog现在正在进入第三阶段,具有许多改进,包括验证和增强的钥匙卷。
12月,松露安全筹集了1400万美元在一系列投资回合。这些资金已被用来改善软件 - 而Ayrey说,Trufflehog“更快,检测到10x更多的秘密,并自动验证100%的IT支持动态检查的秘密”。
最重要的变化是一个新的验证步骤。现在可以对提供键的供应商进行API调用,以验证新发现的密钥。现在还希望秘密探测器提高Trufflehog的性能和运行时速度。
此外,现在支持639种关键类型,包括AWS,Azure,Confluent,Facebook和GitHub.。
“我们不知道另一个扫描引擎支持这个许多关键类型的引擎,更不用说验证,以及他们全现在都是开源的事实,”Ayrey评论道。
Trufflehog的故事始于2017年。Ayrey写了脚本,以便在Git源代码中快速查找泄露的API键和秘密,具有整体目的BUG赏金提交。
该代码已发布为开源项目。它的受欢迎程度LED Ayrey,达到尘埃甲板和朱利安敦促,留下他们的工作,全职专注于松露安全和凭证泄漏工具。
松露的安全性从发布了Trufflehog Chrome扩展,沿着浮木,开源软件用于发现泄露,配对私有和公钥。
“我认为,我们最兴奋的部分是虽然是验证片,”艾瑞斯告诉每日SWbeplay2018官网IG.。
“试图弄清楚一个关键仍然是活动的,你必须阅读钥匙类型的文档并弄清楚如何测试它,然后您可以找到每个非活动密钥one active key that you’d manually have to try all 20. We now automate all of that.”
你可能也会喜欢轻松访问控制漏洞!约会平台公开敏感的个人数据
