目录
[1. 基本关键词搜索](#1. 基本关键词搜索)
[2. 文件类型限定搜索](#2. 文件类型限定搜索)
[3. 用户/组织定向搜索](#3. 用户/组织定向搜索)
[1. 组合搜索条件](#1. 组合搜索条件)
[2. 排除干扰结果](#2. 排除干扰结果)
[3. 路径限定搜索](#3. 路径限定搜索)
简介
GitHub作为全球最大的代码托管平台,存储着数十亿行公开代码,其中可能包含大量意外泄露的敏感信息。本文将系统介绍从基础到进阶的GitHub信息收集技术,所有搜索语法均经过验证,确保能够返回实际结果。
一、入门搜索技巧
1. 基本关键词搜索
这些简单搜索往往能发现大量泄露凭证:
"password"
"api_key"
"secret_key"
"credentials"
"database_password"2. 文件类型限定搜索
filename:.env "DB_PASSWORD" # 环境文件中的数据库密码
filename:config.json "api_key" # JSON配置文件中的API密钥
filename:.properties "jdbc.url" # Java属性文件中的数据库连接3. 用户/组织定向搜索
user:facebook "internal" # 搜索特定用户的代码
org:google "test" # 搜索特定组织的测试代码二、精准定位技巧
1. 组合搜索条件
"aws_access_key_id" AND "aws_secret_access_key" filename:.env
"slack_token" AND filename:.json2. 排除干扰结果
"password" NOT "example" NOT "test" NOT "dummy" pushed:>2023-01-013. 路径限定搜索
path:src/main/resources "application.yml" "password"
path:.github/workflows "secret" # GitHub Actions中的密钥三、防御建议
-
预提交检查:使用git hooks或CI工具在代码提交前扫描敏感信息
-
密钥管理:使用Vault、AWS Secrets Manager等专业密钥管理工具
-
监控机制:定期扫描现有仓库中的敏感信息
-
权限控制:限制敏感仓库的访问权限
-
员工培训:提高开发人员的安全意识
四、法律与道德提醒
-
仅搜索公开可用信息
-
不要尝试访问私有仓库
-
发现漏洞后遵循负责任的披露流程
-
遵守GitHub服务条款和当地法律法规