How I made $64k from deleted files – a bug bounty story
a year ago
- #github
- #security
- #bug-bounty
- Sharon Brizinov开发了一个自动化工具,通过恢复已删除文件和解析Git内部数据来扫描GitHub仓库中的密钥泄露问题。
- 该流程包括从公开漏洞赏金计划收集目标仓库、克隆代码库,并使用TruffleHog等工具寻找有效密钥。
- 关键发现包括来自GCP、AWS、Slack和GitHub的生产环境令牌,相关漏洞赏金金额从300美元到15,000美元不等。
- 常见泄露原因包括Git知识缺乏、二进制文件意外提交,以及历史重写工具使用不当。
- 该项目累计获得64,350美元漏洞赏金,同时提升了相关企业的安全防护能力。