查看这个免费的自动化工具，它在公共存储库中搜寻公开的 AWS 密钥

快速阅读: 据《The Register》称，一个免费的自动化工具AWS密钥猎手被发布，用于扫描GitHub仓库以查找暴露的AWS凭证。该工具由安全工程师安姆尔·辛格·亚达夫开发，旨在实时监控并发出警报。尽管有免责声明强调仅用于教育目的，但仍有人担忧该工具可能被恶意使用。亚达夫希望通过此举提高人们对安全性的认识，并鼓励更好的安全习惯。

一个免费的自动化工具已被发布，它能够让任何人扫描公共GitHub仓库以查找暴露的AWS凭证。在你发言之前，是的，我们非常确定类似的程序和服务已经存在，但嘿，今天强调这种软件很容易获得又有什么坏处呢？安全工程师安姆尔·辛格·亚达夫在发现超过100个公开仓库中有暴露的AWS访问密钥，其中一些具有高权限，“正等待被利用”后，构建了AWS密钥猎手（AWS-Key-Hunter）。泄露的安全密钥可能被犯罪分子滥用，以接管人们的云账户并访问他们的AWS资源。这会导致各种邪恶行为：窃取计算能力、非法挖掘加密货币、外泄财务细节和其他敏感数据，然后勒索赎金，并更改系统配置。正如我们所说，已经存在一些技术和工具可以更容易地找到泄露的秘密——假设是你的秘密，这样你可以采取必要措施撤销被泄露的访问密钥并创建一个新的。例如，GitHub Dorking指使用GitHub的高级搜索功能构建查询，以定位可能包含凭证的环境文件、JSON配置和源代码文件。然而，由于这种方法依赖于静态关键词搜索，它可能无法有效揭示已被混淆或编码的秘密。还有土茯苓（TruffleHog），这是一个开源工具，用于扫描Git仓库中的高熵字符串和凭证模式，以帮助识别潜在的硬编码AWS密钥。确保高度安全性是其关键特性。然而，亚达夫认为，土茯苓并非为实时监控而设计，有时可能因依赖熵检测而产生误报。因此，他开发了一个自动化的AWS密钥检测工具，该工具持续监控GitHub仓库中的暴露密钥，并在检测到秘密时发送实时警报。当它识别出一个暴露的密钥时，会立即向专用Discord频道发送警报。虽然亚达夫说这种自动化工具“有助于在攻击者之前发现泄漏”，但如果将其指向其他用户的公共仓库，它也可能被武器化。加密劫持者在5分钟内从GitHub窃取AWS凭证勒索软件团伙滥用AWS原生加密，设置7天的数据销毁计时器骗子从配置错误的网站窃取AWS凭证，然后将它们保存在开放的S3桶中团伙从云和电子邮件提供商的垃圾Git配置中盗取了15000个凭证博客和亚达夫的GitHub上都有一个大的免责声明。“此工具仅用于教育和实验目的，”他写道。“不得用于恶意活动或任何伤害他人的行为。”但是，当一个免费工具或概念证明呈现给犯罪分子时，他们通常富有创新精神。当被问及是否担心该工具会被武器化时，亚达夫告诉《注册报》“这是一项社会实验，旨在了解GitHub上公开暴露的AWS密钥的规模。”亚达夫表示，当他搜索暴露的秘密时，他感到惊讶，并补充说他的发现强调了更好的安全性的需求。“我完全理解此类工具的风险，这就是为什么我包括明确的免责声明以强调道德使用的原因，”亚达夫说。“我的目标从来不是将其武器化，而是提高人们对这些暴露的普遍性认识，并鼓励更好的安全卫生习惯。”

(以上内容均由Ai生成)