Github Search

我們都聽過社會工程學(xué)這個名詞，準(zhǔn)確來說，社會工程學(xué)不是一門科學(xué)。而在社會工程學(xué)中，對信息掌握的充分程度是其中的關(guān)鍵。不光是這，在其它很多領(lǐng)域里我們都需要盡可能的搜集多的信息。

為了搜集更多的信息，目前主流的搜索途徑有：

1.Google Hacking，這個就不必多說了，google強(qiáng)大的搜索引擎，只要會用，搜出來的真是超出意料。(比如下面這個搜出來的名單，包括身份證，手機(jī)，qq等信息應(yīng)有盡有) 

某政府公務(wù)員信息統(tǒng)計表

2.Shodan，物聯(lián)網(wǎng)搜索引擎，是互聯(lián)網(wǎng)上最可怕的搜索引擎，搜索所有和互聯(lián)網(wǎng)關(guān)聯(lián)的服務(wù)器、攝像頭、打印機(jī)、路由器等等。 

3.ZoomEye，是知道創(chuàng)宇推出的一款網(wǎng)絡(luò)空間搜索引擎，探索互聯(lián)網(wǎng)設(shè)備和網(wǎng)站節(jié)點(diǎn)，包括路由器、物聯(lián)網(wǎng)家電、平板電腦、手機(jī)等，甚至還有監(jiān)控探頭、工業(yè)控制中的SCADA系統(tǒng)等比較敏感的設(shè)備，可以說是國版Shodan。 

ZoomEye

4.

Github Hacking

Github不僅能托管代碼，還能對代碼進(jìn)行搜索，我們感受到了其便利的同時，也應(yīng)該時刻注意，當(dāng)你上傳并公開你的代碼時，一時大意，讓某些敏感的配置信息文件等暴露于眾。

讓我們從第一個例子開始。當(dāng)搜索ssh password關(guān)鍵字時，其中里面有這樣一個有趣的結(jié)果： 

好像是一個捷克教育科研網(wǎng)絡(luò)的，賬號密碼寫的這么簡潔明了，于是登錄上去看一看。 

是不是還挺歡樂的，早就有無數(shù)人登陸過了，還有人留下文本善意提醒。這意味著什么，Github早已被盯上，也許下一個大事件會是某漏洞導(dǎo)致Github私有庫代碼大量泄漏。

當(dāng)我們在Github上搜索時，我們到底能搜到什么

能搜到的東西很多，這里只是給個思路，具體怎么玩自己去嘗試。

郵箱

比如說以mail password關(guān)鍵字搜索： 

搜索很多郵箱的帳號密碼，這里就不一一列舉了。

如果說用@qq.com或者是@gmail.com等各種郵箱后綴為關(guān)鍵字進(jìn)行搜索，你會發(fā)現(xiàn)某商戶收集的客戶qq信息： 

各種賬號密碼

Github上能搜到的賬號密碼實(shí)在是太多了，篩選一下你會發(fā)現(xiàn)很多有意思的。比如說有微信公眾平臺帳號： 

居然連Github的登陸帳號也放在上面。

各種VIP

萬萬沒想到啊，沒想到Github上還有這等福利! 

百度云

盡管大部分鏈接已經(jīng)失效，但是好資源還是有的。 

簡歷

沒想到還有很多人把包含個人信息的如此重要的簡歷也放在了Github上。搜索相關(guān)關(guān)鍵字resume，簡歷，學(xué)歷：  

?

??

其它

比如說有時候我需要微信開放平臺的應(yīng)用AppID(太懶，不想申請)，于是搜索關(guān)鍵字WXApi registerApp，出來很多：

?

??

總之，鑒于越來越多人開始使用Github(非碼農(nóng)，比如說科學(xué)家，作家，音樂制作人，會計等職業(yè))，你可以在Github搜的內(nèi)容也越來越多，不僅僅是代碼，簡直什么都有，什么某人做的筆記啊，寫的小說啊，自拍照啊，還有書籍，論文等，簡直出乎意料。

是時候該做點(diǎn)什么了

沒錯，當(dāng)你看完本文，在以后上傳項(xiàng)目代碼時注意一下，以免泄露敏感信息;如果已經(jīng)有帳號密碼在上面了就趕快去修改吧。