مخازن کد
Code Repositoriesتوضیحات
مهاجمان مخازن کد عمومی مانند GitHub، GitLab یا Bitbucket را برای جمعآوری اطلاعات درباره قربانیان جستجو میکنند. این مخازن ممکن است به اشتباه اطلاعات حساسی مانند کلیدهای API، اعتبارنامههای پایگاه داده، توکنهای احراز هویت، جزئیات زیرساخت یا کد منبع اختصاصی را فاش کنند.
روشهای شناسایی
اسکن منظم مخازن عمومی برای اطلاعات حساس سازمان. استفاده از ابزارهایی مانند GitGuardian برای شناسایی secret های لو رفته. آموزش توسعهدهندگان در مورد خطرات commit کردن اطلاعات حساس.
روشهای مقابله
استفاده از ابزارهای اسکن secret در pipeline CI/CD. آموزش توسعهدهندگان در مورد مدیریت secret. استفاده از .gitignore برای فایلهای حاوی اطلاعات حساس. بررسی منظم مخازن عمومی. استفاده از secret management tools.
تکنیک اصلی
جستجو در وبسایتها و دامنههای عمومی
مهاجمان اطلاعاتی درباره قربانیان از وبسایتهای عمومی جستجو میکنند که میتوانند در هدفگیری استفاده شوند. این اطلاعات ممکن است از شبکههای اجتماعی، موتورهای جستجو یا سایتهای تخصصی مانند LinkedIn، GitHub یا سایتهای اعلام استخدام جمعآوری شوند. این اطلاعات میتوانند جزئیاتی درباره پرسنل، فناوریهای مورد استفاده و ساختار سازمانی آشکار کنند.
سایر زیرتکنیکها (2)