本文主要讲述如何通过Google查找Github里用户上传的敏感信息。

0x01 前言

最近时不时就看到大家在说在Github上面找敏感信息，比如像邮箱密码啊之类的，今天就自己总结一些如何在Github上面搜索敏感信息。

0x02 邮箱账号密码

其实如何搜索都是靠谷歌语法，下面就是一些好用的谷歌语法：

site:Github.com smtp

site:Github.com smtp @qq.com

site:Github.com smtp @126.com

site:Github.com smtp @163.com

site:Github.com smtp @sina.com.cn

site:Github.com smtp password

site:Github.com String password smtp

......

随便打开搜索出的第一个，截图如下：

0x03 数据库信息

Github上面不仅能搜到邮箱信息，更可以搜索到不少的数据库信息：

site:Github.com sa password

site:Github.com root password

site:Github.com User ID='sa';Password

......

下面是搜出的一些效果：

上面主要是搜一个数据库的用户名密码，下面我们直接搜索sql，这样往往能搜出一些备份数据库文件，从而从备份中直接找到用户名密码：

site:Github.com inurl:sql  

下面是随便找出的一个结果，从中我们得到了邮箱、密码及其盐值：

0x03 SVN信息

site:Github.com svn

site:Github.com svn username

site:Github.com svn password

site:Github.com svn username password 

......

这里将SVN换成Git也是同样的，另外还有就是hg，当然这个相对就要少一些。

0x04 其他敏感信息

site:Github.com ssh

site:Github.com password

site:Github.com ftp ftppassword

site:Github.com 密码

site:Github.com 内部

......

这个实在太多了，大家自己尝试吧。

0x05 结束语

细思极恐啊，竟然有那么多的程序员会将自己的各种敏感信息公开放到Github上面，所以对于企业来说做好员工的安全意识培训是相当有必要的。