Log in
Blog HbS
Slider

Github secrets (o no tan secretos)

portada

La anécdota comenzó cuando haciendo mis pinitos como pentester estaba investigando sobre un laboratorio de dificultad elevada (muy muy elevada, pero es cómo realmente se aprende), para la cual el último punto requería debugging y fuzzing a nivel avanzado. Hondeando en google sobre una cadena (una dirección offset de memoria) localicé un repositorio de un exploit para dicha máquina escrito en Python (y así poder entender la base de dicha vulnerabilidad). 

​ No obstante, dicho código estaba incompleto, por lo que decidí buscar en el índice de repositorios de ese usuario y para mi sorpresa… No estaba listado. Al volver al código exploit pude darme cuenta de que dicho código estaba marcado cómo "secreto".

​ Sorprendido por dicho hallazgo empecé a profundizar más con búsquedas, y es que al parecer cualquier repositorio marcado cómo secreto se podía localizar muy fácilmente con el motor de búsqueda de google.

​ De inicio pensamos en un posible bug, pero no, queda claro lo que indican desde la propia web de gits:

https://help.github.com/en/enterprise/2.13/user/articles/about-gists

Ahora bien, ¿Cuántas personas hay que creen que marcando su git como secreto no lo ve nadie? 

En la creación de un gits, al lado del botón secret hay una i de información, es el único sitio donde te indican que ese git es público, quizá no indexado por los buscadores, ojo con compartirlo, pero sí público.

Así que… ¿conocéis el nick de alguien que sea un buen desarrollador?

Con buscar:

site:gist.github.com/[usuario] "secret"

Es fácil que aparezcan resultados.

Github no engaña a nadie, pero podía cambiar la terminología de sus palabras porque pueden llevar a crear sensación de seguridad y privacidad.

Por último lo comunicamos a la gente de offensive-security para que lo añadiese en la base de datos de exploit-db referente a google-hacking, no sabemos si lo admitirán o no, y recordad, Google lo indexa todo (o casi) por lo que tened cuidado con lo que publiquéis en vuestras webs.


Un saludo del equipo de Hack by Security.
SQL Injection
Metasploit (cheat sheet)

Artículos relacionados

Agrega tu email para recibir novedades de seguridad
Estoy de acuerdo con el Términos y Condiciones