盘点：新的开源工具扫描公有 AWS S3 存储桶以查找密钥

siyanji · 发表于 2023-3-9 22:21:34

新的开源S3S扫描程序允许研究人员和红队成员搜索错误存储在公开公开或的AAWSS3存储桶中的机密。从需求端看外国服务器更符合消费者的心理预期，愿意为心仪的事物买单。https://www.l7y.cn/

新的开源S3S扫描程序允许研究人员和红队成员搜索错误存储在公开公开或的AAWSS3存储桶中的机密。AS3（简单存储服务）是一种云存储服务，通常使用这种服务将软件、服务和数据存储在称为存储桶的容器中。不幸的是，有时法正确保护其S3存储桶，从而将存储的数据公开暴露给I。这种类型的配置错误在过去会导致数据露，威胁行为者可以访问员工或客户详细信息、备份和其他类型的数据。除了应用程序数据外，S3存储桶中的源代码或配置文件还可以包含密钥，即身份验证密钥、访问令牌和API密钥。如果这些机密被威胁行为者不当暴露和访问，它们可能会允许他们更多地访问其他服务甚至的络。

扫描S3以查找机密在一次检查世嘉近期资产风险的练习中，安全研究员EH发现没有扫描意外数据露的工具，因此他决定创建自己的自动扫描仪，并将其作为开源工具发布在GH上。为了帮助及时发现公有S3存储桶上暴露的密钥，H创建了一个为S3S的P工具，该工具可自动执行以下操作：使用CSPM获取公有存储桶列表通过API查询列出存储桶内容检查公开的文本文件下载相关文本文件扫描内容以查找机密将结果转发到SIEMS3扫描程序执行的操作S3扫描程序执行的操作扫描程序工具将仅列出将以下配置设置为F的S3存储桶，这意味着暴露可能是意外的：BPA阻止公共政策忽略公共A限制公共桶在下载文本文件以进行机密扫描步骤之前，将从列表中筛选出任何打算公开的存储桶。扫描存储桶时，脚本将使用T3工具检查文本文件的内容，该工具是基于G的机密扫描程序的改进版本，可以检查GH、GL、文件系统和S3存储桶上的凭证和私钥。T3使用H设计的一组自定义规则扫描S3下载的文件，这些规则针对个人身份信息（PII）暴露和内部访问令牌。当定期用于扫描组织的资产时，研究人员认为S3S可以帮助比较大限度地减少因露机密而导致的数据露或络露的可能性。比较后，该工具还可用于白帽操作，例如扫描可公开访问的存储桶，并在不良行为者发现之前通知所有者暴露的机密。

		自动登录	找回密码
密码			立即注册

盘点：新的开源工具扫描公有 AWS S3 存储桶以查找密钥

浏览过的版块