Ferramenta em Python para análise de segurança em repositórios do GitHub
-
🔐 Acesso a repositório privado
Verifica se um repositório privado pode ser acessado sem a devida permissão. -
📝 Modificação de repositório
Testa a possibilidade de alterar descrições de repositórios sem autorização. -
💥 Injeção de código em workflows
Tenta injetar um payload malicioso em workflows do GitHub Actions. -
🔑 Exposição de secrets
Checa se há acesso não autorizado aos secrets configurados no repositório. -
🔍 Escopo de token
Verifica se o token utilizado permite a criação de issues indevidas. -
👥 Manipulação de colaboradores
Testa se colaboradores podem ser adicionados sem permissão. -
🚨 Proteção de branches
Verifica se configurações de proteção de branch podem ser alteradas. -
📜 Análise de logs de CI
Avalia se há exposição de dados sensíveis nos logs de execução. -
📊 Acesso GraphQL
Testa o endpoint GraphQL para verificar dados avançados do repositório. -
🌐 Injeção de webhook
Tenta adicionar um webhook malicioso ao repositório.
-
Python 3.x
-
Biblioteca requests – para instalar, use:
pip install requests
bash git clone https://github.com/bulletdev/bullet-security-pentest cd bullet-security-pentest Insira seu token do GitHub no lugar de ZZZZZZZZ no código:
python GITHUB_TOKEN = "ZZZZZZZZ" # Insira seu token do GitHub aqui Atualize os parâmetros, como o nome do repositório e o ID do workflow, conforme necessário.
💻 Uso Para executar o script, use:
bash python script_pentest.py O script exibirá os resultados no console, indicando se foram detectadas vulnerabilidades ou permissões incorretas.
Desenvolvido por bulletdev