本文是为bug赏金猎人以及其安全团队编写的，演示了用户发布到Github公共存储库的常见敏感信息类型，以及查找这些秘密的启发性方法。本文中的技术也可以应用到GitHub Gist片段中。

在过去的一年里，我在没有访问程序网站的情况下，通过HackerOne上的漏洞奖赏获得了近1万美元的收益。向不同公司提交了30多份协同披露报告，其中包括8家财富500强公司。

我还发布了GitHound，这是一个开源工具，用于在GitHub上自动查找密钥。GitHound并不局限于单个用户或组织，它会筛选整个Github仓库，使用代码搜索查询作为进入存储库的入口点，然后使用上下文、正则表达式和其他一些巧妙的技巧快速查找密钥。

Github代码搜索

在我们进入自动化工具和漏洞奖赏策略之前，我们先说一说代码搜索。Github提供了丰富的代码搜索，可以扫描GitHub公共存储库(这里忽略一些内容，比如fork和非默认分支)，像uberinternal.com那样简单，也可以包含多个字符串，也可以包含类似"Authorization: Bearer"这样的多单词字符串，甚至可以针对特定的文件进行搜索，(如文件名：vim_settings.xml)或特定的语言(如SQL)。还可以搜索vim_settings.xml。

了解了Github代码搜索的规则，我们就可以设计出搜索dork，用它来查询敏感信息，dork可以在网上找到，但最好的Dork都是自己创造的。

例如，filename: vim_settings.xml针对的是IntelliJ设置文件。有趣的是，vim_settings.xml文件包含最近用Base64编码的复制粘贴字符串。我也因为发现了这个问题而赚了2400美元，SaaS API密钥和客户信息在vim_settings.xml中被暴露。
xml只包含最近复制粘贴的字符串，但是我们可以利用存储库的提交历史来查找整个复制粘贴历史。只需要克隆代码库并运行这个14行脚本，用户的活动就掌握在你手中，GitHound还可以查找并扫描base64编码的字符串以查找密钥，甚至在提交历史中也是如此。