Icône du lab

Git Secrets Hunter

🔍 Pouvez-vous découvrir les secrets cachés dans l'historique Git de ce développeur ?

Défi Mis à jour le 21 juin 2026 Solution (Pro)
Git Forensics Version Control Security Repository Analysis Penetration Testing Secret Recovery OSINT

Un développeur négligent a laissé son dépôt Git entier exposé sur le serveur web. 💻 Bien que le code actuel semble propre, l'historique des commits raconte une histoire différente, remplie de secrets commités accidentellement, de clés API et de données de configuration sensibles. Pouvez-vous fouiller l'archéologie du contrôle de version pour découvrir ce qu'ils ont essayé de cacher ? 🕵️‍♂️ Ce défi vous enseignera des techniques essentielles d'investigation Git utilisées par les professionnels de la sécurité dans le monde entier. 🎯

1
Flags
50
XP
67%
Taux de Réussite

L'investigation médico-légale de dépôts Git est une compétence critique dans les tests d'intrusion et les évaluations de sécurité. Lorsque les développeurs commitent des informations sensibles dans le contrôle de version - même s'ils les suppriment plus tard - ces données persistent indéfiniment dans l'historique Git. Les attaquants qui obtiennent l'accès à un dépôt peuvent fouiller son historique de commits pour récupérer des mots de passe, des clés API, des certificats privés et d'autres secrets que les développeurs croyaient avoir supprimés en toute sécurité.

Pourquoi les secrets se retrouvent dans l'historique Git

Les flux de développement mènent fréquemment à l'exposition accidentelle de secrets. Un développeur peut commiter un fichier de configuration contenant des identifiants de base de données, réaliser l'erreur, et supprimer le fichier dans un commit ultérieur. Bien que le fichier n'apparaisse plus dans l'arbre de travail actuel, il reste entièrement récupérable depuis la base de données d'objets du dépôt. D'autres scénarios courants incluent des jetons API codés en dur dans les premiers commits de développement, des fichiers .env qui n'ont pas été correctement ajoutés au gitignore dès le départ, et des clés privées incluses accidentellement dans des commits avant d'être renouvelées.

Techniques d'investigation médico-légale Git

Les professionnels de la sécurité utilisent plusieurs techniques pour chercher des secrets dans les dépôts Git. L'examen des journaux de commits révèle la chronologie des changements et quels fichiers ont été modifiés. Le diff entre commits montre exactement ce qui a été ajouté ou supprimé. Le modèle d'objets de Git permet l'inspection directe des blobs, arbres et commits. Des outils spécialisés comme git-secrets, truffleHog et GitLeaks automatisent le processus de scan de l'historique du dépôt pour des schémas correspondant aux identifiants, jetons et clés privées.

Conséquences réelles

L'exposition de secrets via l'historique Git a conduit à des violations de sécurité significatives. Des clés d'accès à des fournisseurs cloud trouvées dans des dépôts GitHub publics ont été exploitées en quelques minutes pour lancer des infrastructures de minage de cryptomonnaie. Des identifiants de base de données découverts dans l'historique des commits ont permis un accès non autorisé aux données. Des jetons API internes ont permis aux attaquants de pivoter d'un seul dépôt exposé vers une compromission organisationnelle plus large. Ces incidents soulignent pourquoi la chasse aux secrets Git est une phase standard des tests d'intrusion modernes.

Prévention et remédiation

Les organisations doivent implémenter des hooks pre-commit qui scannent les secrets avant qu'ils n'entrent dans le dépôt, utiliser des variables d'environnement au lieu d'identifiants codés en dur, maintenir des fichiers .gitignore complets, et renouveler tout identifiant qui a déjà été commité - qu'il ait été supprimé par la suite ou non. Comprendre l'investigation médico-légale Git du point de vue de l'attaquant est essentiel pour construire des défenses efficaces contre l'exposition de secrets.

Ce que vous apprendrez

  • Comment Git stocke les fichiers supprimés et les données historiques dans sa base de données d'objets
  • Utilisation des commandes Git log, diff et show pour l'investigation médico-légale
  • Identification de schémas indiquant des secrets commités accidentellement
  • Utilisation d'outils automatisés pour scanner l'historique Git à la recherche d'identifiants et de jetons
  • Meilleures pratiques pour prévenir l'exposition de secrets dans le contrôle de version

Prérequis

Git version control basics Command line proficiency Understanding of authentication credentials

Prêt à hacker ce lab ?

Créez un compte gratuit et pratiquez la cybersécurité.

Commencer - C'est gratuit
Commencez Votre Défi
~1-2 min de configuration
Serveur dédié
Instance privée
Puissance standard
Nouveau ? Voici comment faire
1
Cliquez sur "Start Lab" ci-dessus Vous obtiendrez votre propre machine avec une adresse IP
2
Explorez la cible Ouvrez l'IP dans votre navigateur et cherchez des vulnérabilités
3
Trouvez et soumettez les flags Les flags sont des textes secrets cachés dans le système - collez-les ci-dessous pour marquer des XP

Prêt à hacker ce lab?

Créez un compte gratuit pour démarrer votre propre serveur dédié, soumettre des flags et gagner des XP au classement.

Commencer à Hacker Gratuitement

Labs similaires

Labs qui partagent des compétences similaires

Pwnify - Test d'intrusion d'application web
Pwnify - Test d'intrusion d'application web
Hard 700 XP 35
Web Application Security Mass Assignment Command Injection Hash Cracking
13 000+ Hackers 100+ Labs & Cours Gratuit
Commencer Gratuitement