0
| 本文作者: 李勤 | 2019-03-24 11:00 |
雷鋒網(wǎng) 3 月 24 日消息,北卡羅來納州立大學(xué)(NCSU)學(xué)者的一項研究表明,某些 GitHub 倉庫會泄漏 API 令牌和加密密鑰。研究人員分析了超過 10 億個 GitHub 文件,這些文件分布在數(shù)百萬個存儲庫中。
研究人員用 GitHub 搜索 API 捕獲并分析 681784 個庫的 4394476 個文件,另有 3374973 個庫的 2312763353 份文件記錄在 Google 的 BigQuery 數(shù)據(jù)庫中。研究人員在這些文件中尋找具有特定 API 令牌或加密密鑰格式的文本字符串,結(jié)果發(fā)現(xiàn) 575456 個 API 和加密密鑰,其中 201642 個是唯一的,所有這些密鑰分布在 100000 多個 GitHub 項目中,而且使用 Google Search API 找到的密鑰和通過 Google BigQuery 數(shù)據(jù)集找到的密鑰是幾乎沒有重疊。研究人員表示,他們跟蹤的 API 和加密密鑰中有 6% 在泄漏后一小時內(nèi)被刪除,超過 12% 的密鑰在一天后被刪除,而 19% 的密鑰暴露了 16 天。
消息來源:創(chuàng)意安天論壇
雷峰網(wǎng)版權(quán)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
