Git

URLから.gitフォルダーをダンプするには https://github.com/arthaud/git-dumper を使用します。

コンテンツを検査するには https://www.gitkraken.com/ を使用します。

ウェブアプリケーションに_.git_ディレクトリが見つかった場合、_wget -r http://web.com/.git_を使用してすべてのコンテンツをダウンロードできます。その後、_git diff_を使用して行われた変更を確認できます。

ツール: Git-Money、DVCS-Pillage、およびGitToolsを使用して、gitディレクトリのコンテンツを取得できます。

ツールhttps://github.com/cve-search/git-vuln-finderは、コミットメッセージ内のCVEおよびセキュリティ脆弱性メッセージを検索するために使用できます。

ツールhttps://github.com/michenriksen/gitrobは、組織とその従業員のリポジトリ内の機密データを検索します。

Repo security scannerは、コマンドラインベースのツールで、開発者が誤って機密データをプッシュしたGitHubの秘密を発見するのを助けることを目的として書かれました。他のツールと同様に、パスワード、秘密鍵、ユーザー名、トークンなどを見つけるのに役立ちます。

TruffleHogは、GitHubリポジトリを検索し、コミット履歴やブランチを掘り下げて、誤ってコミットされた秘密を探します。

ここでGitHubドークについての研究を見つけることができます: https://securitytrails.com/blog/github-dorks