探索隐藏的亚马逊S3桶:Bucket Stream

最新推荐文章于 2024-07-17 11:30:52 发布
最新推荐文章于 2024-07-17 11:30:52 发布
阅读量631 收藏 8
点赞数 14
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00070/article/details/138786075
版权

探索隐藏的亚马逊S3桶:Bucket Stream

bucket-stream Find interesting Amazon S3 Buckets by watching certificate transparency logs. 项目地址: https://gitcode.com/gh_mirrors/bu/bucket-stream

在这个数据日益重要的时代,安全存储和管理信息变得至关重要。而Bucket Stream就是这样一款创新工具,它通过监控证书透明度日志(CertStream)来发现公开的Amazon S3桶,帮助你了解可能存在的潜在风险。

项目介绍

Bucket Stream 是一个Python 3.4+的命令行应用,它监听证书透明度日志,并尝试从证书域名的各种排列组合中找出公共S3桶。这个工具不仅提供了一种新的攻击方式的角度,更旨在提醒用户关注公共S3桶的安全性。只需简单的安装和配置,你就可以开始探索可能的公开存储空间了。

Demo

项目技术分析

Bucket Stream 的核心在于其对证书透明度日志的实时监听和基于域名的S3桶查找算法。借助于CertStream服务,它能获取到最新的SSL/TLS证书信息。然后,通过对证书域名进行字典式的排列组合,发现可能关联的S3桶。如果在config.yaml文件中提供了AWS访问密钥和秘钥,Bucket Stream还能尝试访问认证的S3桶并识别桶的所有者。

应用场景

  • 安全性审计:对于企业或个人来说,定期检查自己的S3桶是否对外公开,可以防止敏感数据泄露。
  • 研究与教育:安全研究人员和教学环境可以使用Bucket Stream来演示不安全的云存储实践及其后果。
  • 漏洞报告:发现有误设权限的S3桶后,可向所有者报告,协助他们改进安全措施。

项目特点

  • 自动化检测:无需手动搜索,Bucket Stream自动从证书透明度日志中寻找公开的S3桶。
  • 灵活配置:你可以调整线程数以控制检测速度,并选择忽略或处理Let's Encrypt签发的证书。
  • 快速识别:当提供AWS凭证时,Bucket Stream能识别出桶的所有者,提高审计效率。
  • 易于扩展:项目接受贡献,你可以添加自定义的排列组合策略,甚至直接提交代码改善项目。

使用步骤

  1. 克隆项目仓库:git clone https://github.com/eth0izzle/bucket-stream.git
  2. 安装依赖:(可选) pip3 install virtualenv && virtualenv .virtualenv && source .virtualenv/bin/activatepip3 install -r requirements.txt
  3. 运行:python3 bucket-stream.py

额外选项

你还可以指定只记录有趣的桶(匹配关键字文件的内容),跳过Let's Encrypt签发的证书,或者将结果记录到文件中。

Bucket Stream是一个强大且有用的工具,帮助你在大数据海洋中找到那些可能被忽视的安全隐患。无论是自我保护还是帮助他人,都是值得一试的选择。立即开始你的S3桶安全之旅吧!

bucket-stream Find interesting Amazon S3 Buckets by watching certificate transparency logs. 项目地址: https://gitcode.com/gh_mirrors/bu/bucket-stream

劳泉文Luna
关注
bucket name does not follow Amazon S3 standards.
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
04-14 402
最近项目上使用minio上传文件,但是目录要有层级结构。
基于minio在本地做亚马逊AMAZON:AWS S3·云文件存储开发
weixin_41870171的博客
07-03 1082
基于minio在本地做亚马逊AWS S3·云文件存储开发minio启动 · minioスタット文件上传 · ファイルアップロード文件删除 · ファイル削除文件复制 · ファイルコッピ文件下载 · ファイルダウンロード自己写的S3工具类 · S3Utils minio启动 · minioスタット 启动控制台,在minio文件目录下执行(复制以下代码)。 CMDをスタットして、minio目録の中には実行する。(コッピ) minio.exe --compat --config-dir config server
使用 Terraform 创建 s3 存储
jascl的博客
06-17 341
在本教程中,我们将学习如何通过 3 个步骤(实际上是 2 个)使用 terraform 创建一个 s3 存储!它将下载必要的东西以及一个“.tstate”文件。但最好先使用计划查看可能的更改,然后再应用。您的更改(创建存储)将应用于 aws!无论是您的本地计算机还是 CI/CD 平台,您都需要在那里设置 AWS-CLI。并根据提示粘贴您的访问密钥,秘密访问密钥和区域以及默认输出格式 -它将输出可能的更改列表,确保你通过了,如果你没问题就运行 -切记:在学习过程中,为避免意外账单,请在玩完后销毁资源。
AWS 创建S3存储
SINGWIN01的博客
12-27 826
原定设置情况下,ACL 处于禁用状态。Amazon S3 中的大多数现代使用案例不再需要使用 ACL。我们建议您将 ACL 保持为禁用状态,除非有必须单独控制每个对象的访问权限的特殊情况。原定设置情况下,启用所有四个“屏蔽公共访问权限”设置。我们建议您将所有设置 保 持为启用状态,除非您知道您需要为您的特定使用案例关闭其中一个或多个设置。设置,以要求所有 Amazon S3 上传都包含。,该策略只允许使用此 ACL 上传对象。标准 ACL,则可以。
【Amazon S3】基于S3存储创建生命周期规则自动定期删除备份文件
最新发布
宝耶需努力的技术分享博客
07-17 1356
基于S3存储创建生命周期规则自动定期删除备份文件
AWS S3创建文件最后访问日期表的流程梳理
dwe147的博客
08-12 719
AWS S3储存是面向对象的储存,该服务并没有提供S3文件的最后访问日期的记录,但是在S3智能分层中又会根据文件最后访问日期进行分层。为了能分析出哪些文件适合智能分层,还有排查出僵尸文件,就需要统计S3文件的最后访问日期表。...
探索AWS S3的利器:AWSBucketDump
gitblog_00044的博客
05-14 280
探索AWS S3的利器:AWSBucketDump AWSBucketDumpSecurity Tool to Look For Interesting Files in S3 Buckets项目地址:https://gitcode.com/gh_mirrors/aw/AWSBucketDump 在云存储的世界里,Amazon S3是众多企业的数据仓库,其中隐藏着无数可能的宝藏。而AWSBuc...
bucket-stream:通过查看证书透明性日志查找有趣的Amazon S3存储
02-24
通过查看证书透明性日志查找有趣的Amazon S3存储。 该工具仅侦听各种证书透明性日志(通过certstream),并尝试从证书域名的排列中查找公共S3存储。 负责任。 我主要创建了此工具,以突出显示与公共S3存储...
springboot集成amazon aws s3对象存储sdk(javav2)
01-12
而Amazon S3(Simple Storage Service)是AWS提供的一个云存储服务,用于存储和检索任何数量的数据,无论何时何地。本篇文章将深入探讨如何在SpringBoot项目中集成AWS S3 SDK(Java V2版本),实现对象的分页列表、...
gulp-awspublish:gulp插件,用于将文件发布到亚马逊s3
02-03
// http://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/S3.html#constructor-property var publisher = awspublish . create ( { region : "your-region-id" , params : { Bucket : "..." } } , { ...
AWS跨账户访问S3存储的6种方式
mmqgirlfriend的博客
11-14 852
S3存储跨账户访问的几种方式
AWS S3国内与国外的区别
weixin_34334744的博客
01-11 1193
S3云存储国际版目前正被某墙,国内部分地区只能下载不能上传,所以建议S3使用国内AWS的。 国内S3与国外S3在编程时注意以下几点: 1)URL不通用 国际版的S3可以使用不带Region的URL,例如:http://{bucket}.s3.amazonaws.com/ 国内版必须指定Region并且使用专用的国内域名:http://{bucket}.s3.cn-north-1.amazo...
云计算-Amazon S3
qq_54813250的博客
05-23 1433
当存储许多对象时,您应该思考可能出现的问题,因为这将解释亚马逊做出的一些设计决策以及您将看到的许多S3存储管理产品。这是通过选择我们将用作网站的的“权限”标签上的“阻止公共访问”按钮来完成的。这里提供了两个选项,我们可以将文件拖放到对话框中,或者我们可以点击“添加文件”按钮,将出现一个进一步的对话框,允许我们在计算机上选择文件。这可以通过一个URL完成,该URL是从您的名称和存储您的亚马逊AWS区域的名称组成的唯一字符串。然后我们点击“上传”按钮,将出现一个对话框,我们可以选择要放入中的文件。
发现AWS S3的终极利器:Sandcastle
gitblog_00048的博客
06-16 373
???? 发现AWS S3的终极利器:Sandcastle sandcastle???? A Python script for AWS S3 bucket enumeration.项目地址:https://gitcode.com/gh_mirrors/san/sandcastle 在云存储领域中,AWS的S3服务以其卓越的性能和可靠性赢得了众多企业的青睐。然而,对于安全研究人员来说,探索并发现可能存在的...
记录:AWS S3权限设置
CMEguagua的博客
03-15 2938
要求:1、关闭公开访问 2、服务器使用ak、sk连接,设置存储策略 3、开启加速,使用 cloufront 域名或者自定义域名 1、存储设置--阻止共有访问 2、在 CloutFront 控制台 源访问身份 并分配 2.1、创建---源访问身份(OAI) 2.2、分配源访问身份的访问 3、配置S3的存储策略 设置的访问权限后,!!!注意代码里面不要设置文件的共有访问属性 { "Version":...
创建AWS S3储存
qq_52525445的博客
10-02 1678
创建AWS S3储存
S3存储策略(S3 Bucket Policies)
iloveaws的博客
01-06 8898
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn 08-S3存储策略(S3 Bucket Policies) 【 Domain 1的组织复杂性设计(Design for Organizational Complexity)】——-S3存储策略(S3 Bucket Policies) Hello大家好,欢迎回...
【SRC挖洞经验】Amazon S3 Bucket接管教程
yggcwhat
03-29 2907
在挖掘HackerOne过程中会经常遇到Bucket接管漏洞,Amazon 的是最多的 有些网站访问是这样,也可能是其他页面,nuclei扫描出来会提示 存在Bucket 接管漏洞 漏洞利用 使用 dig + 目标域 dig查询如果发现cname 中有解析到s3 存储 就得到了S3 bucket name 的名称,有了S3 bucket name 就可以尝试去接管 在这里https://s3.console.aws.amazon.com/s3/buckets/,创建一个存储.
amazon s3 简单使用
weixin_34405925的博客
01-09 543
S3全称叫做 Amazon Simple Storage Service ,简单存储服务,Scalable Storage in the Cloud ,可扩展的云存储。 好消息 AWS Free Usage Tier* As part of the AWS Free Usage Tier, you can get started with Amazon S3 for free. Upon...
通过C++亚马逊SDK用线程池写一段vstor传输到亚马逊s3的代码
05-18
该示例代码中,首先使用C++亚马逊SDK和线程池读取vstor文件到缓冲区中,然后使用线程池上传缓冲区中的数据到亚马逊s3存储中。上传过程中,将缓冲区分为若干段,每段使用一个线程来上传。当上传完一段数据后,再...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

劳泉文Luna

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值