Google GitHub Hacking 工具是一款专为安全研究人员、渗透测试工程师和网络安全分析师设计的 Chrome 扩展程序。该工具通过自动化的检测机制,帮助用户快速发现目标域名的安全风险和信息泄露。
作者: 秦思扬 pip_install_qsy
-
高风险漏洞检测
- 密钥暴露检测:自动搜索网站上可能暴露的API密钥、私钥等敏感信息
- 配置文件泄露:检测暴露的.env、配置文件及其他包含敏感信息的配置
- 源码泄露:发现暴露的源代码库、Git仓库等
- SQL注入点:识别潜在的SQL注入漏洞位置
- 开放重定向:检测可能被利用的URL重定向参数
- XSS漏洞点:发现可能存在XSS攻击的输入点
-
中风险漏洞检测
- 日志文件:搜索暴露的日志文件
- 备份文件:发现备份文件、临时文件等
- 管理页面:检测管理后台、登录页面等敏感入口
- 错误信息:发现暴露详细错误信息的页面
- 服务器状态:检测服务器状态页、调试信息等
- 开发环境文件:搜索开发、测试、暂存环境的敏感文件
-
信息收集功能
- 技术栈信息:收集网站使用的技术、框架、CMS等信息
- 站点结构:分析网站的结构、目录和功能
- 邮箱收集:发现网站上暴露的邮箱地址
- 文档暴露:检测公开的文档文件(PDF、DOC、XLS等)
- 云存储桶:发现关联的云存储服务
- 社交媒体:收集相关社交媒体账号和信息
-
额外漏洞检测
- CVE漏洞信息:查找与目标域名相关的已知CVE漏洞
- 暴露的API:发现公开的API端点
- 明文凭证:检测暴露在网页中的明文密码和凭证
- 安全头部检测:分析网站安全头部配置情况
- 过时软件:发现运行的过时或存在漏洞的软件版本
-
自定义Google语法
- 支持用户输入自定义的Google Dork语法进行精确搜索
-
多种扫描选项
- 敏感信息扫描:在GitHub上搜索包含目标域名的敏感信息
- 凭证泄露扫描:查找可能泄露的密码、token、密钥等
- 配置文件扫描:发现配置文件中的敏感信息
- 源代码扫描:分析包含目标域名的源代码
- 云服务密钥:专门针对AWS、Azure、GCP等云服务的密钥进行搜索
- 全面泄露扫描:综合检测所有可能的信息泄露
-
GitHub API集成
- 支持GitHub Token认证,提高API限制和搜索效率
- 自动处理API速率限制,优化查询策略
-
实时状态追踪
- 查询历史记录:30分钟内自动记录已查询项目,避免重复操作
- 精确时间显示:显示"几秒前"、"几分几秒前"等精确时间信息
- 状态颜色提示:不同状态显示不同颜色,直观明了
-
优化的用户体验
- 固定顶部设计:域名信息和导航栏固定在顶部,便于操作
- 进度显示:实时显示扫描进度和状态
- 结果分类:按风险等级自动分类显示结果
- 折叠/展开功能:方便查看和管理大量结果
-
高级搜索引擎优化
- 智能域名处理:自动去除www等前缀,获取核心域名
- 优化的查询语法:根据不同安全风险类型构建专门的搜索语法
- 结果缓存:避免重复查询,提高效率
- 高度自动化:一键触发复杂的搜索语法,无需手动编写
- 全面覆盖:包含数十种预定义的安全检测类型
- 实时反馈:即时显示查询状态和结果
- 快速部署:作为Chrome扩展程序,无需服务器即可运行
- 持续更新:定期更新搜索语法和检测规则,适应新型安全风险
该工具适用于安全审计、渗透测试、信息收集和安全教育等多种场景,帮助安全专业人员快速评估目标域名的安全状况和潜在风险。