本文作者:myh0st
送书活动:信安之路五月送书活动
赠送书籍:《企业安全建设入门基于开源软件打造企业网络安全》
特别说明:五月送书活动开始了,本文作为活动的开篇,技术比较水,但是意义比较大,希望大家都可以参与进来一起分享。
大家作为安全爱好者或者从业者,大部分也是一个程序员,既然是程序员就离不开写代码,写代码就离不开 github,用 github 就喜欢在上面公开分享一些自己写的项目或者代码,写代码就离不开测试,有些测试情况离不开认证,有人证就离不开帐号密码或者 api key,测试完成之后很多朋友只想着快点分享出去,一不小心把自己的测试的认证信息或者 api key 一起打包分享了,这是个老问题,但是必须时刻提醒,毕竟新的程序员不断出现,但是安全意识需要慢慢增强。
下面就以邮箱的帐号密码泄漏为例,检测是否泄漏很简单,使用自己的帐号登入 github,利用它的代码搜索功能,比如关键字:smtp 163 pass,效果如图:
我试了几个,还是有不少可以认证成功的,这个问题是可以避免的,记住一点在代码发布的时候一定要把认证的信息给修改掉,永远会有新的朋友出现这个问题,很多时候安全问题是由于自己的懒惰造成的,不过话说回来,安全做的越好,操作越复杂,给大家带来的额外工作越多,这也是安全问题不断的原因。
