LetMeSOThat4U
2016-03-04 15:13:34 UTC
Uno dei requisiti che ho nel mio lavoro è che le password non possono essere codificate nel codice sorgente, dump del database, script, ecc.
Tuttavia, la scansione manuale e ripetuta di tutte queste cose diventa noiosa. C'è qualcosa "pronto all'uso" che cerca parole chiave e frasi simili a password in un file?
Certo, posso usare grep con regex. Ma preferirei qualcosa che sia personalizzato per l'attività.
Sarebbe molto bello avere se potesse cercare in modo "confuso" invece di cercare stringhe fisse, cercare password, variabili, colonne del database e contenuti che somigliano a password o posizioni delle password.
L'unica possibilità è IMHO cercando modelli speciali o l'elenco dei falsi positivi crescerà con il numero di es. le corde crescono.
E se non chiamo la mia variabile "password"? Se codice `ingress =" letmein "`, come lo troverebbe il tuo strumento? Immagino che tu possa solo scaricare tutte le stringhe (il che probabilmente significa che il tuo strumento deve essere in grado di analizzare molti linguaggi di codifica). O in qualche modo mi manca il punto?
@Mawg: se uno strumento è stupido come grep, perché usarlo in primo luogo invece di grep? Mi aspetto qualcosa di più "intelligente" di quello.
Mi è venuto in mente che non ci hai detto se hai un elenco di password conosciute che stai cercando. Quando l'ho letto per la prima volta, pensavo che la password avrebbe dovuto cercare qualsiasi cosa che *** potesse essere una password. Qual è, per favore?