简介
GitDorker是一个利用GitHub Search API和各种来源汇编的GitHub dork的广泛列表来搜索查询github上存储的敏感信息的工具。
测试流程
安装GitDorker
代码语言:javascript复制git clone https://github.com/obheda12/GitDorker
pip3 install -r requirements.txt配置Github Token
在Github设置选项中新建Token值
建议为GitDorker提供多个GitHub个人访问令牌,以便它可以在dorking过程中在多个GitHub个人访问令牌之间交替出现,并降低速率受限的可能性,使用来自单独的GitHub帐户的多个令牌将提供最佳结果。
为达到最佳效果,本次测试添加了3个Token进行使用。
另外GitDorker利用GitHub搜索API,每分钟最多只能请求30个请求。为了防止速率限制,每30个请求后,GitDorker就会内置一个睡眠功能以防止搜索失败。
因此,如果要运行带有GitDorker的alldorks.txt文件,该过程大约需要5分钟才能完成。
个人访问令牌设置,可参考如下设置
新建Token文件
在当前目录下新建token.txt文件,并将生成好的Token值保存在此文件下
test@小生观察室:/tmp/GitDorker# cat token.txt
b2eb2282e4******************************
8356426a73******************************
f5174402b5******************************修改dorks文件
复制GitDorker/Dorks/下的alldorks.txt文件到GitDorker目录并改名为all.txt执行以下命令:
python3 GitDorker.py -q 小生观察室.com -tf token.txt -d all.txt
SRC案例
这里以某个SRC为例进行了测试,发现私人上传了内部数据库源码及用户账户信息
审核结果定为高危,如果想把生成的结果保存下来可以使用-o 小生观察室.txt的方式,把结果保存在本地。
