(Y)et (A)nother (R)obber
Yar – это инструмент для проверки организаций, пользователей и / или репозиториев…
На самом деле, yar – это инструмент OSINT для разведки репозиториев / пользователей / организаций на Github.
Yar клонирует репозитории данных пользователей / организаций, которые ему открыты, и просматривает всю историю коммитов в порядке времени, в поисках секретов / токенов / паролей, по сути всего, чего там не должно быть.
Всякий раз, когда Yar находит секрет, он выводит его для дальнейшей оценки.
Yar ищет либо по регулярному выражению, энтропии или обоих, выбор за вами.
Вы можете считать yar большим и лучшим трюфельном боровом, он делает все, что делает трюфельный боров, и даже больше!
Установка
go get github.com/Furduhlutur/yar
Использование
Хотите искать секреты в организации?
yar -o orgname
yar -u username
Хотите искать секреты в одном репозитории?
yar -r repolink
yar -r repopath
yar -o orgname -u username -r reponame
¯\_(ツ)_/¯
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.