发现AWS S3桶的终极利器:Sandcastle

最新推荐文章于 2024-07-17 11:30:52 发布
最新推荐文章于 2024-07-17 11:30:52 发布
阅读量367 收藏 6
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00048/article/details/139715527
版权

🚀 发现AWS S3桶的终极利器:Sandcastle

sandcastle🏰 A Python script for AWS S3 bucket enumeration.项目地址:https://gitcode.com/gh_mirrors/san/sandcastle

在云存储领域中,AWS的S3服务以其卓越的性能和可靠性赢得了众多企业的青睐。然而,对于安全研究人员来说,探索并发现可能存在的公开访问的S3桶是一项挑战与机遇并存的任务。今天,我们将向大家介绍一款名为Sandcastle的Python脚本——它将帮助你更高效地识别那些“隐身”于互联网深处的AWS S3桶。

🔍 项目介绍

Sandcastle,灵感源自Instacart的安全专家@nickelser,是一款用于枚举AWS S3桶的强大工具。这款工具通过输入目标名称(如shopify)作为搜索基点,并结合预设的桶名变化列表进行自动化扫描,从而快速定位潜在可访问的S3桶资源。

⛓️ 项目技术分析

功能解析:

Sandcastle的核心是它的枚举机制,能够针对给定的目标名称,遍历一个包含多种桶命名模式的文件,比如-training, -bucket, -dev等后缀。这一过程不仅节省了人工猜测的时间,而且极大地扩展了检测的范围和深度。

执行流程:

  1. 初始化:克隆该仓库并在本地环境运行sandcastle.py
  2. 参数配置:指定目标名称(例如shopify)以及包含桶名变体的文件。
  3. 桶检查:软件自动进行匹配测试,对每一个潜在的桶名尝试访问,以判断其是否存在以及是否对外可见。
  4. 结果反馈:报告返回每个候选桶的状态码,如403(权限拒绝)、200(公开可访问),这为后续深入分析提供了线索。

🔧 应用场景与案例分享

Sandcastle适用于各类企业和组织的安全审计工作,尤其是在网络渗透测试阶段。它可以帮助我们:

  • 在未授权的情况下,发现可能存在风险的公开S3桶,以便及时采取措施保护敏感数据;
  • 对企业内部的云计算架构进行全面的安全审查,确保所有资源都遵循严格的数据访问策略。

✨ 项目亮点

  • 高度自动化:一键式操作,从输入基本参数到获取最终结果,全程无需手动干预。
  • 全面性与准确性:得益于内置的变化名单,能覆盖各种可能的桶命名模式,提高探测的成功率。
  • 易于集成与定制:基于Python开发,便于与其他脚本或系统集成,同时支持扩展桶名库,满足特定需求下的灵活性调整。

Sandcastle不仅仅是一个工具,它是通往隐藏世界的一把钥匙,引领你在无垠的数字海洋中探索未知之谜。无论你是安全研究者,还是企业IT部门的一员,都不妨将Sandcastle加入你的武器库,一起守护这片信息的绿洲吧!

🚀 加入Sandcastle社区,共同推动网络安全领域的进步与发展!

sandcastle🏰 A Python script for AWS S3 bucket enumeration.项目地址:https://gitcode.com/gh_mirrors/san/sandcastle

班歆韦Divine
关注
使用 Terraform 创建 s3 存储
jascl的博客
06-17 329
在本教程中,我们将学习如何通过 3 个步骤(实际上是 2 个)使用 terraform 创建一个 s3 存储!它将下载必要的东西以及一个“.tstate”文件。但最好先使用计划查看可能的更改,然后再应用。您的更改(创建存储)将应用于 aws!无论是您的本地计算机还是 CI/CD 平台,您都需要在那里设置 AWS-CLI。并根据提示粘贴您的访问密钥,秘密访问密钥和区域以及默认输出格式 -它将输出可能的更改列表,确保你通过了,如果你没问题就运行 -切记:在学习过程中,为避免意外账单,请在玩完后销毁资源。
AWS 创建S3存储
SINGWIN01的博客
12-27 782
原定设置情况下,ACL 处于禁用状态。Amazon S3 中的大多数现代使用案例不再需要使用 ACL。我们建议您将 ACL 保持为禁用状态,除非有必须单独控制每个对象的访问权限的特殊情况。原定设置情况下,启用所有四个“屏蔽公共访问权限”设置。我们建议您将所有设置 保 持为启用状态,除非您知道您需要为您的特定使用案例关闭其中一个或多个设置。设置,以要求所有 Amazon S3 上传都包含。,该策略只允许使用此 ACL 上传对象。标准 ACL,则可以。
【Amazon S3】基于S3存储创建生命周期规则自动定期删除备份文件
最新发布
宝耶需努力的技术分享博客
07-17 1233
基于S3存储创建生命周期规则自动定期删除备份文件
AWS S3创建文件最后访问日期表的流程梳理
dwe147的博客
08-12 706
AWS S3储存是面向对象的储存,该服务并没有提供S3文件的最后访问日期的记录,但是在S3智能分层中又会根据文件最后访问日期进行分层。为了能分析出哪些文件适合智能分层,还有排查出僵尸文件,就需要统计S3文件的最后访问日期表。...
AWS跨账户访问S3存储的6种方式
mmqgirlfriend的博客
11-14 749
S3存储跨账户访问的几种方式
aws-s3-proxy:具有基本身份验证的AWS S3的反向代理
02-06
具有基本身份验证的AWS S3的反向代理 支持的标签和相应的Dockerfile链接: ・最新( )・ 2.0( )・ 1.4( )・ 1.4赢( )・ 1( ) 描述 这是AWS S3的反向代理,它也能够提供基本身份验证。 您无需为Website ...
aws-s3-virusscan:适用于Amazon S3存储的防病毒软件
01-29
适用于S3存储的防病毒软件 您可以使用连接任意数量的存储 提供了具有附加集成的 。 产品特点 使用ClamAV扫描S3存储中的新添加文件 每3小时自动更新ClamAV数据库 扩展EC2实例工作者以分配工作量 发现问题时将...
s3-bucket:简单的AWS S3包装器:fire:
05-17
简单的AWS S3包装器 :fire: 安装 $ npm install s3-bucket 环境变量 S3_BUCKET_ACCESS_KEY_ID=value S3_BUCKET_SECRET_ACCESS_KEY=value S3_BUCKET_NAME=value S3_BUCKET_REGION=value 用法 // Don't forgot to ...
terraform-aws-s3-website:使用terraform创建一个AWS S3网站
03-10
然后,使用Terraform的数据源`aws_s3_bucket_object`或AWS CLI将这些文件上传到S3: ```hcl data "aws_s3_bucket_object" "index" { bucket = aws_s3_bucket.website_bucket.bucket key = "index.html" source...
MINIO服务器基于AWS S3 SDK 文件上传及下载(C++实现类)
11-14
std::unique_ptr<Aws::S3::S3Client> s3Client = std::make_unique<Aws::S3::S3Client>(clientConfig); ``` 2. **文件上传**: 使用S3 SDK的`PutObject`函数将本地文件上传到MINIO服务器。这个操作可能需要分片上传...
探索AWS S3利器AWSBucketDump
gitblog_00044的博客
05-14 277
探索AWS S3利器AWSBucketDump AWSBucketDumpSecurity Tool to Look For Interesting Files in S3 Buckets项目地址:https://gitcode.com/gh_mirrors/aw/AWSBucketDump 在云存储的世界里,Amazon S3是众多企业的数据仓库,其中隐藏着无数可能的宝藏。而AWSBuc...
云计算-Amazon S3
qq_54813250的博客
05-23 1372
当存储许多对象时,您应该思考可能出现的问题,因为这将解释亚马逊做出的一些设计决策以及您将看到的许多S3存储管理产品。这是通过选择我们将用作网站的的“权限”标签上的“阻止公共访问”按钮来完成的。这里提供了两个选项,我们可以将文件拖放到对话框中,或者我们可以点击“添加文件”按钮,将出现一个进一步的对话框,允许我们在计算机上选择文件。这可以通过一个URL完成,该URL是从您的名称和存储您的的亚马逊AWS区域的名称组成的唯一字符串。然后我们点击“上传”按钮,将出现一个对话框,我们可以选择要放入中的文件。
探索隐藏的亚马逊S3:Bucket Stream
gitblog_00070的博客
05-13 628
探索隐藏的亚马逊S3:Bucket Stream 项目地址:https://gitcode.com/eth0izzle/bucket-stream 在这个数据日益重要的时代,安全存储和管理信息变得至关重要。而Bucket Stream就是这样一款创新工具,它通过监控证书透明度日志(CertStream)来发现公开的Amazon S3,帮助你了解可能存在的潜在风险。 项目介绍 Bucket St...
记录:AWS S3权限设置
CMEguagua的博客
03-15 2899
要求:1、关闭公开访问 2、服务器使用ak、sk连接,设置存储策略 3、开启加速,使用 cloufront 域名或者自定义域名 1、存储设置--阻止共有访问 2、在 CloutFront 控制台 源访问身份 并分配 2.1、创建---源访问身份(OAI) 2.2、分配源访问身份的访问 3、配置S3的存储策略 设置的访问权限后,!!!注意代码里面不要设置文件的共有访问属性 { "Version":...
创建AWS S3储存
qq_52525445的博客
10-02 1635
创建AWS S3储存
S3存储策略(S3 Bucket Policies)
iloveaws的博客
01-06 8825
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn 08-S3存储策略(S3 Bucket Policies) 【 Domain 1的组织复杂性设计(Design for Organizational Complexity)】——-S3存储策略(S3 Bucket Policies) Hello大家好,欢迎回...
s3模式 linux,如何在Linux上安装s3cmd和管理Amazon S3
weixin_39670627的博客
05-12 1505
s3cmd 是用于创建S3,上传,检索和管理数据到Amazon S3存储命令行实用程序。 本文将帮助你如何在CentOS,RHEL,OpenSUSE系统,Ubuntu,Debian和LinuxMint系统上安装s3cmd,并通过简单的步骤命令行管理S3。 要在阅读文章Windows服务器安装s3cmd 在Windows中安装s3cmd。我们还可以使用S3FS与FUSE在我们的系统本地驱动器安装...
Amazon S3 资源概述及管理访问基本操作
热门推荐
MansonRi
07-04 1万+
Amazon S3 资源概述及管理访问基本操作 默认情况下,所有Amazon S3资源都是私有的,包括存储、对象和相关子资源(例如liftcycle、website配置)。只有资源拥有者,即创建该资源的AWS账户可以访问资源。资源拥有者可以选择通过编写访问策略授予他人访问权限。 Amazon S3提供的访问策略大致可分为两类:基于资源的策略、用户策略。 附加到资源(存储和对象)的访问策
aws::s3::s3client 上传进度 c++
08-19
AWS::S3::S3Client是AWS提供的用于与S3服务进行交互的客户端库。它具有上传文件到S3存储的功能。 在使用AWS::S3::S3Client上传文件时,可以通过使用S3的`TransferManager`类来获取上传进度。`TransferManager`类...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

班歆韦Divine

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值