Github Search

我們都聽過社會工程學這個名詞，準確來說，社會工程學不是一門科學，而是一門藝術。而在社會工程學中，對信息掌握的充分程度是其中的關鍵。不光是這，在其它很多領域里我們都需要盡可能的搜集多的信息。

為了搜集更多的信息，目前主流的搜索途徑有：

1.Google Hacking，這個就不必多說了，google強大的搜索引擎，只要會用，搜出來的真是超出意料。（比如下面這個搜出來的名單，包括身份證，手機，qq等信息應有盡有）

某政府公務員信息統計表

2.Shodan，物聯網搜索引擎，是互聯網上最可怕的搜索引擎，搜索所有和互聯網關聯的服務器、攝像頭、打印機、路由器等等。

Shodan.io

3.ZoomEye，是知道創宇推出的一款網絡空間搜索引擎，探索互聯網設備和網站節點，包括路由器、物聯網家電、平板電腦、手機等，甚至還有監控探頭、工業控制中的SCADA系統等比較敏感的設備，可以說是國版Shodan。

ZoomEye

4.社工庫，反正就是各種脫庫流出的數據，只能說數據泄漏無處不在。。

上面都是一些廢話，與本文無關。上面都是在不同層面上對信息的一種檢索，而本文則提供另一種思路，我們從另一個維度進行探索——代碼搜索引擎。

Github Hacking

Github不僅能托管代碼，還能對代碼進行搜索，我們感受到了其便利的同時，也應該時刻注意，當你上傳并公開你的代碼時，一時大意，讓某些敏感的配置信息文件等暴露于眾。

讓我們從第一個例子開始。當搜索ssh password關鍵字時，其中里面有這樣一個有趣的結果：

好像是一個捷克教育科研網絡的，賬號密碼寫的這么簡潔明了，于是登錄上去看一看。

是不是還挺歡樂的，早就有無數人登陸過了，還有人留下文本善意提醒。這意味著什么，Github早已被盯上，也許下一個大事件會是某漏洞導致Github私有庫代碼大量泄漏。

當我們在Github上搜索時，我們到底能搜到什么

能搜到的東西很多，這里只是給個思路，具體怎么玩自己去嘗試。

郵箱

比如說以mail password關鍵字搜索：

搜索很多郵箱的帳號密碼，這里就不一一列舉了。

如果說用@qq.com或者是@gmail.com等各種郵箱后綴為關鍵字進行搜索，你會發現某商戶收集的客戶qq信息：

各種賬號密碼

Github上能搜到的賬號密碼實在是太多了，篩選一下你會發現很多有意思的。比如說有微信公眾平臺帳號：

居然連Github的登陸帳號也放在上面。。

各種VIP

萬萬沒想到啊，沒想到Github上還有這等福利！

百度云

盡管大部分鏈接已經失效，但是好資源還是有的。

簡歷

沒想到還有很多人把包含個人信息的如此重要的簡歷也放在了Github上。搜索相關關鍵字resume，簡歷，學歷：

其它

比如說有時候我需要微信開放平臺的應用AppID（太懶，不想申請），于是搜索關鍵字WXApi registerApp，出來很多：

總之，鑒于越來越多人開始使用Github（非碼農，比如說科學家，作家，音樂制作人，會計等職業），你可以在Github搜的內容也越來越多，不僅僅是代碼，簡直什么都有，什么某人做的筆記啊，寫的小說啊，自拍照啊，還有書籍，論文等，簡直出乎意料。

是時候該做點什么了

沒錯，當你看完本文，在以后上傳項目代碼時注意一下，以免泄露敏感信息；如果已經有帳號密碼在上面了就趕快去修改吧。

最后，歡迎關注我的微信公眾號：urinx