声明：文章只做技术交流，请勿用于非法用途



github 上的配置信息泄漏



GitHub是一个面向开源及私有软件项目的托管平台，因为只支持git 作为唯一的版本库格式进行托管，故名GitHub。



打开github官网。搜索字符串jdbc:mysql。



选择: code 和 Recently indexed。 这样就查询出含 jdbc:mysql的最新更新的代码。图中可以看到，已经查到了腾讯云数据库连接地址和账号密码。

尝试使用 navicat 连接后，成功连接。

无论密码和用户名多复杂，一旦泄漏，也就没用了

当然，由于GitHub本身的搜索算法的原因，结果可能和我们想的不一样。但是手动查找后，还是能找到一些成果的。

*国内的码云也可以用类似的方法去搜索，不过效果不如GitHub。

日志文件泄漏

网络空间资产检索系统（FOFA）是世界上数据覆盖最完整的IT设备搜索引擎，拥有全球联网IT设备最全DNA信息。探索全球互联网的资产信息，进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。

打开FOFA搜索引擎，输入：body="log.txt" && country=CN。便可以查找到有关log.txt的IP。
点开一个可以看到：

当然，这个里面没有什么敏感的信息。细心去找的话，还是能找到不少的。

除了搜索日志，也可以搜索sql文件、后台路径等等。

除此之外，大家熟知的可能还有 google搜索、钟馗之眼等等，都可以用来搜索具有某种特征的IP，合理利用就可以查询到大量信息。所以，在日常工作生活中，需要多多注意一些敏感信息的使用，做好个人信息、公司信息的保护。