黑料不打烊:隐藏入口Github
黑料社区是供应黑产情报的门户网站,致力于为黑客和黑产从业人员提供最新的黑暗互联网动态。相信很多人已经听过Amazon、Google、Microsoft等公司的漏洞奖励计划,这是众多大公司对互联网安全重视的体现,而Github作为全球最大的代码托管平台,也开设了漏洞奖励计划,看得出其重视安全问题的态度。但Github的更深层含义不是代码的存储,更是一个黑料聚集地。
什么是Github
Github是一个面向开源及私有软件项目的托管平台,遵循Git版本控制系统。它由GitHub公司(曾称Logical Awesome)的开发者Chris Wanstrath、PJ Hyett和Tom Preston-Werner使用Ruby on Rails编写而成。Github同时也是一个Web平台,可以供程序员们社交、学习、分享和交流。
Github存在的意义就是为开源软件项目提供远程仓库托管服务,使得开源项目可以更好地进行协作开发。它还提供了一系列的协作工具,开发人员可以在上面创建代码储存库并与他人分享代码。Github上的代码可以被其他人查看、下载甚至修改,这意味着在Github上有大量的代码可以被黑客利用。
Github的漏洞奖励计划
Github 官方推出了漏洞奖励计划,以资鼓励任何安全研究人员发现并报告Github的安全漏洞。促进黑客与安全研究人员合法发现并能够被及时处理,这使得Github更加稳定安全,同时建立Github作为全球代码存储的安全标准形象。
漏洞的内容可以包括输出在Github时的XSS,以及Github相关安全漏洞。GitHub公司将会根据漏洞奖励计划将最新最全的漏洞信息放在官网上推送公告,也将会对协助发现并且提交漏洞的人员进行奖励。
:黑料聚集地
Github上的代码是可以任何人下载、查看、更改的,而这其中的某些代码可能就有很多的敏感信息。比如用户名与密码、密钥配置和API等,这些东西被放在Github上是非常危险的行为。通过搜索在Github上的账户,可能会找到许多恶意代码,而这些恶意代码可能会在别的网站上利用,形成现实危害。
黑客与黑产从业人员有时也会在Github等开源代码网站上寻找漏洞或者情报信息。除此之外,一些被控制的软件项目甚至是被黑客上传到仓库中去的。就算是最著名的黑客组织Lizard Squad也在去年用Github发布了他们的最新黑客工具。
如何避免被黑客盯上?
首先,要意识到黑料从业者与黑客们都很喜欢在Github上留下“痕迹”。如果你的代码库或者Github账户与黑料相关(或者情报相关),就会吸引黑客们的目光。因此,减少在Github上发布与黑料有直接关系的内容。其次,不要把任何敏感信息、密码、密钥配置信息等存储到Github或者上传到公共代码库中。
怎样可以让Github成为一个条件上更加安全的平台呢?Github为程序员们提供了一系列的工具,如双因素认证、防护措施、可信的开发者认证等。使用这些安全设置可以让Github账户更加安全可靠。
结尾
Github对于黑客和恶意分子来说,是一个宝库,希望大家能够充分意识到其毫不逊色于之前提到的Amazon、Google、Microsoft等公司的漏洞奖励计划。同时,也希望大家认真遵守Github的使用规则,合理使用Github,并不要轻易将机密信息存入Github账户中。作为开发者,一定要时刻关注Github的最新漏洞信息,及时修补并加强自己代码的安全性,在安全意识的基础上,共同维护Github的安全可靠。
