wayback-secrets

挖掘 Wayback Machine 快照以查找暴露的密钥

## 概述 **wayback-secrets** 从 Wayback Machine 获取归档的 JavaScript、配置文件和环境文件，然后扫描其中硬编码的 API 密钥、令牌、密码、内部 URL 以及其他开发者意外提交的密钥。 从生产环境中移除的密钥仍可能被缓存于网络存档中。 ## 检测内容 | 类别 | 模式 | |------|------| | **云服务** | AWS 访问/密钥、GCP API 密钥、S3 存储桶、Firebase URL | | **支付** | Stripe 密钥/发布密钥、Square、PayPal 令牌 | | **通信** | Slack 令牌/Webhook、SendGrid、Mailgun、Twilio | | **源代码控制** | GitHub 令牌（PAT、OAuth、应用） | | **认证** | JWT 令牌、Bearer 令牌、基本认证、私钥 | | **基础设施** | 数据库 URL（MongoDB、MySQL、Postgres、Redis）、内部 URL | | **通用** | 键值对形式的 API 密钥、密钥、密码 | | **网络** | 私有 IP 地址、内部/预发布/开发主机名 | ## 用法 ``` # 扫描一个域名 python3 wayback-secrets.py example.com # 自定义输出和线程 python3 wayback-secrets.py example.com -o ./scans -t 10 # 增加 URL 获取限制 python3 wayback-secrets.py example.com --limit 10000 # JSON 输出 python3 wayback-secrets.py example.com --json ``` ## 输出 ``` results/ └── example.com/ ├── interesting_urls.txt # Archived JS/config URLs ├── secrets.json # Structured findings ├── secrets.txt # Human-readable findings └── report.md # Markdown report ``` ## 安装 ``` git clone https://github.com/0xAlshalahi/wayback-secrets.git cd wayback-secrets pip install requests ``` ## 无需 API 密钥 此工具使用公开的 Wayback Machine CDX API，无需注册或 API 密钥。 ## 作者 **Abdulelah Al-shalahi** — [@0xAlshalahi](https://github.com/0xAlshalahi) ## 免责声明 仅限授权的安全测试用途。存档中发现的密钥可能仍然有效，请负责任地报告。 ## 许可证 MIT

标签：API密钥, AWS密钥, GCP密钥, GitHub令牌, LLM应用, Python, SEO, URL发现, Wayback Machine, Web存档, 云端密钥, 令牌, 内部URL, 历史数据, 反汇编, 安全检测, 密钥泄露, 开发者安全, 支付令牌, 敏感信息, 数据库连接, 无后门, 秘密扫描, 网络安全, 网络调试, 自动化, 逆向工具, 通信令牌, 隐私保护