记一次代码泄漏处置过程
2023-4-6 23:26:15 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

目录

0x01 前言

0x02 厂家处理过程

0x03 个人处理过程

0x04 隐藏邮箱的方法

0x05 最后

0x06 免责声明

△△△点击上方“蓝字”关注我们了解更多精彩
0x00 前言

上班的时候,同事发现一则告警,是关于公司的代码泄漏,我看了一下,是个 dome 代码,但是一直放在公网上好像也不太好,它会一直告警,而且之后要是告警了领导看到也会问,干脆把它干掉算了。于是我让他找买了服务的厂家协助处置一下这个项目。 

0x01 厂家处理过程

跟厂家反馈完之后,哔哩吧啦一大堆,他居然跟我同事说只能处理有关的页面,而且叫我们提供一份处置文件,要证明风险,还要盖章...  wogiao 了,前几天才给完,搞了一个好久的盖章流程,起码 1 个多月。以我的理解不应该是整个项目连带处理掉吗?居然要一个文件一个文件处理,而且每个文件都要有一份文件说明且盖章,好家伙。我直接好家伙。

【图1】

【图2

0x02 个人处理过程

同事反馈完之后,我直接去群里问情况。

【图3

得到了一个 "我确认一下" 的回复。算了还是自己动手吧,靠他们可能一个月都搞不定。

我想起了当年某位大佬分享的姿势,是可以通过 GitHub 找到项目负责人的邮箱(文章找不到了,不然我肯定贴个来源)。

然后我就开始尝试了起来,首先是访问项目,然后点击一下这里。

【图4

然后当你在地址的最后面加上 .patch 之后,就有可能会显示出作者的注册邮箱,果然,我这里也出现了。

【图5】

虽然吧,这个 qq 号也可以找到 wx,但是还是社工 ku 反查一下吧。嘿嘿,果然查到了。

【图6】

然后我通过 qq 还有手机号分别找到了 2 个 wx。不管了都加一遍再说。过了半小时,没想到手机号的 wx 通过了。我还想要是不通过的话我都要直接打电话的了。不管了,开始沟通。

【图7】

然后没过多久,就搞定了。

【图8】

最后我直接给厂家甩了一句话。这个方法确实当你只有一个人的时候,可以进行尝试,说不定会行得通。

【图9】

0x03 隐藏邮箱的方法

1、不使用自己的邮箱注册

2、使用 GitHub 专用的替代邮箱,方法如下:

访问 https://github.com/settings/emails ,在 Primary email address 一栏,我们能看到 GitHub 为我们提供了一个专用的用于在 git 中配置的邮箱地址,直接勾选上。

谷歌的翻译是这样的:

  • 在将我的电子邮件地址保密:

我们将删除您的公开个人资料电子邮件,并在执行基于 Web 的 Git 操作(例如编辑和合并)时使用 [email protected] ,以及代表您发送电子邮件。如果您希望命令行 Git 操作使用您的私人电子邮件,则必须在 Git 中设置您的电子邮件。

使用此电子邮件推送到 GitHub 的提交仍将与您的帐户相关联。

  • 阻止暴露我的电子邮件的命令行推送:

当您推送到 GitHub 时,我们将检查最近的提交。如果该提交的作者电子邮件是您 GitHub 帐户上的私人电子邮件,我们将阻止推送并警告您暴露您的私人电子邮件。address 一栏,我们能看到 GitHub 为我们提供了一个专用的用于在 git 中配置的邮箱地址。

【图10】

然后再次查看的时候就看不到了。

【图11】

0x04 最后

我发现每次处理一个单都会衍生出好多事情,其实我不理解买服务是来解决我们问题的还是来增加我们工作量的。

0x05 免责声明

在学习本文技术或工具使用前,请您务必审慎阅读、充分理解各条款内容。

1、本团队分享的任何类型技术、工具文章等文章仅面向合法授权的企业安全建设行为与个人学习行为,严禁任何组织或个人使用本团队技术或工具进行非法活动。

2、在使用本文相关工具及技术进行测试时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。如您仅需要测试技术或工具的可行性,建议请自行搭建靶机环境,请勿对非授权目标进行扫描。

3、如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。

4、本团队目前未发起任何对外公开培训项目和其他对外收费项目,严禁任何组织或个人使用本团队名义进行非法盈利。

5、本团队所有分享工具及技术文章,严禁不经过授权的公开分享。

如果发现上述禁止行为,我们将保留追究您法律责任的权利,并由您自身承担由禁止行为造成的任何后果。

END

如您有任何投稿、问题、建议、需求、合作、后台留言NOVASEC公众号!

或添加NOVASEC-余生 以便于及时回复。

感谢大哥们的对NOVASEC的支持点赞和关注

加入我们与萌新一起成长吧!

本团队任何技术及文件仅用于学习分享,请勿用于任何违法活动,感谢大家的支持!


文章来源: https://mp.weixin.qq.com/s?__biz=MzUzODU3ODA0MA==&mid=2247488814&idx=1&sn=efaaaf73acc7073cb7e979fe781c9a39&chksm=fad4c839cda3412f2b527ed7dfc1df8fab959f07a8461df9430c3ff6852af6e5236425119f97&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh