如何使用LEAKEY轻松检测和验证目标服务泄露的敏感凭证

关于LEAKEY

LEAKEY是一款功能强大的Bash脚本,该脚本能够检测和验证目标服务中意外泄露的敏感凭证,以帮助广大研究人员检测目标服务的数据安全状况。值得一提的是,LEAKEY支持高度自定义开发,能够轻松添加要检测的新服务。

LEAKEY主要针对的是渗透测试和红队活动中涉及到的API令牌和密钥,对于漏洞Hunter来说,该工具也同样可以提供有效的帮助。

LEAKEY使用了一个基于JSON的签名文件,文件路径为"~/.leakey/signatures.json"。LEAKEY可以通过这个签名文件来加载新的服务或检测列表,如果你想要添加更多的检测目标或服务,可以直接将其追加到signatures.json文件中即可。

工具要求

jq

工具安装

curl安装

复制代码
curl https://raw.githubusercontent.com/rohsec/LEAKEY/master/install.sh -o leaky_install.sh && chmod +x leaky_install.sh && bash leaky_install.sh

源码安装

广大研究人员还可以直接使用下列命令将该项目源码克隆至本地:

复制代码
git clone https://github.com/rohsec/LEAKEY.git

然后切换到项目目录中,执行工具安装脚本即可:

复制代码
cd LEAKEY

./ install.sh

工具运行

工具安装完成之后,我们就可以直接在命令行终端中运行下列命令来执行LEAKEY:

复制代码
leaky

添加新的检测

LEAKEY支持的所有检测都在签名文件signatures.json中定义了,如需添加新的检测目标或服务,可以直接按照下列数据格式在签名文件signatures.json中追加新的目标:

复制代码
{

    "id": 0,

    "name": "Slack API Token",

    "args": [

      "token"

    ],

    "command": "curl -sX POST \"https://slack.com/api/auth.test?token=xoxp-$token&pretty=1\""

  }

工具运行截图



项目地址

LEAKEY :【GitHub传送门

参考资料

GitHub - streaak/keyhacks: Keyhacks is a repository which shows quick ways in which API keys leaked by a bug bounty program can be checked to see if they're valid.

GitHub - udit-thakkur/AdvancedKeyHacks: API Key/Token Exploitation Made easy.

相关推荐
星尘安全1 个月前
俄罗斯黑客以新型 RAT 病毒攻击乌克兰政府
网络安全·黑客·网络攻击·数据泄露·安全意识
廾匸07054 个月前
在线 PDF 制作者泄露用户上传的文档
网络安全·数据泄露
陈哥聊测试5 个月前
你的智能汽车正在窥视你!
软件测试·数据安全·安全测试·特斯拉·数据泄露·数据隐私·智能汽车·数据窃取·私有部署
紫郢剑侠1 年前
大热电视剧《好事成双》里的IT故事:用户数据泄露事件引出的美女黑客
网络安全·数据安全·好事成双·网络黑客·数据泄露·美女黑客