敏感信息关键字集合

敏感信息关键字集合

转载请注明出处:https://youngrichog.github.io/

思考

攻防世界里面缺少不了敏感信息的泄漏,多数的攻击案例里敏感信息泄漏是突破的小利器,为什么想要做一个这样的敏感信息关键字集合,是因为它可以辐射很多场景,其次就是好像没有人在做这件事?目前看好像是这样的。当然,不仅仅是关键字,如果没有关键字覆盖到,难道它是真的没有敏感信息泄漏吗?那不妨去思考敏感信息路径,有些凭据是泄漏在callback中

我简单罗列几个场景:

  1. 拿到目标机器权限后,通过自动化脚本快速完成目标机器上的敏感信息搜集。
  2. 本地对一些文件进行分析的时候,例如批量分析github。
  3. 扫描器的规则,被动识别,通过对request/response识别存在敏感信息泄漏的情况。

结果

目前还没有做优化,忽略大小写,后面会做一下,有想法的朋友可以私聊我。 :-)

名称 来源
AWS_ACCESS_KEY_ID AWS
AWS_SECRET_ACCESS_KEY AWS
AWS_DEFAULT_REGION AWS
END OPENSSH PRIVATE KEY SSH证书
_authToken npm token
AccessKeySecret 阿里云AK
accessKeyId 阿里云AK
access_key_secret 阿里云AK
NACOS_AUTH_TOKEN nacos token
kms_access_secret 阿里云KMS
kms_access_key 阿里云KMS
kms_endpoint 阿里云KMS
aliyuncs.com 阿里云OSS
GITHUB_TOKEN github token
BEGIN RSA PRIVATE KEY 证书
BEGIN CERTIFICATE 证书
jdbc:mysql: 数据库链接
jdbc:sqlserver 数据库链接
jdbc:oracle:thin 数据库链接
jdbc:postgresql 数据库链接
jdbc:hive 数据库链接
Authorization 其他
PRIVATE-TOKEN 其他
OAUTH-TOKEN 其他
accessKey 其他
accessToken 其他
AizaSy开头 GOOGLE_PLACE_API_KEY

更新:2021/8/7