多个SRC挖掘大佬都在使用的 OSS存储桶遍历漏洞检测工具,附下载链接

最新推荐文章于 2025-04-20 23:42:21 发布
最新推荐文章于 2025-04-20 23:42:21 发布
阅读量1.9k 收藏 11
点赞数 24
分类专栏: 安全工具 文章标签: 网络安全 安全 云安全 漏洞挖掘 Web安全 SRC挖掘 黑客
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66360346/article/details/142090876
版权

我们最近就遇到了一个问题:公司的一些存储桶有可能存在遍历漏洞。我们需要提前发现这些潜在风险,并一一排查每个存储桶中的文件。而且,甲方还要求我们提供具体证据,证明这些存储桶的安全隐患。这时候,我意识到仅靠人工手动检查是远远不够的,效率低下、易出错,根本无法满足项目进度的要求。

在这种情况下,我找到了一个开源工具——OSSFileBrowse。这个工具的设计初衷就是为了解决存储桶遍历的痛点,它以JavaFX打造了一个图形化界面,并通过kkFileView实现了文件的预览功能。用起来相当方便。

图片

使用方法也很简单,只需直接运行 `OSSFileBrowse-1.0-SNAPSHOT.jar` 文件,或者通过命令行输入 

java -jar OSSFileBrowse-1.0-SNAPSHOT.jar

就能启动它。加载存储桶后,所有的资源都会自动爬取到左侧的WebView中,渲染的效果非常直观。

有了直观的文件预览,向甲方说明存储桶的安全隐患就变得简单多了。通过截图和工具生成的报告,我们可以快速展示潜在的风险,获得甲方的信任,进一步推进项目的实施。

如果我们需要支持不同类型的文件预览,可以轻松地通过修改 `config.properties` 文件中的 `allow.extensions` 参数来添加新的文件类型。这一点在实际操作中省去了很多麻烦,让我可以专注于

最低0.47元/天 解锁文章
OSS存储桶漏洞总结
RMC131的博客
07-07 7342
OSS,对象存储服务,对象存储可以简单理解为用来存储图片、音频、视频等非结构化数据的数据池。相对于主机服务器,具有读写速度快,利于分享的特点。OSS工作原理: 数据以对象(Object)的形式存储在OSS的存储空间(Bucket )中。如果要使用OSS存储数据,您需要先创建Bucket,并指定Bucket的地域、访问权限、存储类型等属性。创建Bucket后,您可以将数据以Object的形式上传到Bucket,并指定Object的文件名(Key)作为其唯一标识。
工具分享 | OSSFileBrowse - 一款存储桶遍历漏洞利用工具SRC挖掘必备,云安全漏洞挖掘必备,渗透必备,国外SRC挖掘必备。
IT软件汇
09-18 536
工具分享 | OSSFileBrowse - 一款存储桶遍历漏洞利用工具SRC挖掘必备,云安全漏洞挖掘必备,渗透必备,国外SRC挖掘必备。
云安全OSS对象存储漏洞
未完成的歌~的博客
03-24 1272
对象存储服务(Object Storage Service,OSS) 是一种面向非结构化数据的云存储服务,适用于海量数据的存储和管理。与传统的文件存储(如NAS)和块存储(如硬盘)不同,对象存储以“对象”为基本单元,通过唯一的标识符(如URL或Key)来访问数据,适合存储图片、视频、日志、备份等任意类型文件。对象存储中可以有多个桶(Bucket),然后把对象(Object)放在桶里,对象又包含了三个部分:Key、Data 和 Metadata。下面通过阿里云、华为云、腾讯云三个厂商总结一下常见的漏洞
#渗透测试#漏洞挖掘#红蓝攻防#SRC漏洞挖掘#云安全#之OSS存储桶攻击
soc的博客
12-26 1212
对象存储OSS(Object Storage Service)是一种基于对象模型的存储服务,它将数据以对象的形式存储,每个对象由元数据、数据和唯一标识符组成,旨在为用户提供高可靠性、高可用性、高扩展性的海量数据存储解决方案。OSS(Object Storage Service,对象存储服务)是一种海量、安全、低成本、高可靠的云存储服务。OSS存储桶(Bucket)是OSS中的基本容器单元,用于存储对象(Object)。每个对象都是存储桶中的一个条目,包含数据、键(Key)和元数据(Metadata)。
认识漏洞-云主机秘钥泄露、OSS存储桶漏洞
Boom!脑洞大爆炸的博客
12-17 501
认识漏洞-云主机秘钥泄露、OSS存储桶漏洞
对象存储遍历文件url漏洞处理
weixin_42749814的博客
01-28 1775
访问时,会得到一个超大的XML,原来minio的桶有一个listObjects的功能,默认最多1000条记录,这就意味着,如果你打开永久下载链接模式,那么任何人可以通过桶路径来获取你保存的所有资源的信息,然后一个一个下载下来。http://minio_out_url/bucket_path/ 展示无权限。minio public桶禁止在直接访问桶位置时列出所有文件url,这就需要对minio地址进行设置。这里临时开下权限,屏蔽MINIO_BROWSER。2、点击bucket_path 设置权限。
云对象存储桶漏洞?模型和数据被投毒、机器沦陷?- AI & 云安全
最新发布
lufeirider的博客
04-20 1061
今天,我们就来聊一聊最近爆出的私有云的对象存储系统的漏洞(可以导致任意覆盖写桶里面的文件)以及这个漏洞场景挖掘以及影响。
Minio public 权限 存在存储桶遍历漏洞 解决方案
weixin_37391237的博客
12-30 587
可以看到,在action中有s3:ListBucket这一项是allow的,所以我们可以在浏览器中遍历目录,删除即可。自定义权限,删除遍历目录功能。
目录遍历漏洞
qq_68163788的博客
05-22 3842
目录遍历漏洞(Directory Traversal Vulnerability),也称为路径遍历漏洞,是指攻击者可以在没有得到授权的情况下,访问服务器上的敏感文件或目录,甚至可以直接获取服务器的控制权。 目录遍历漏洞的原理是利用Web应用程序中对用户输入数据的不完全过滤和验证,攻击者可以构造特定的URL请求,通过在URL中添加../等符号,来访问系统中的其他目录或文件。例如,攻击者可以通过以下URL访问系统中的敏感文件:http://www.example.com/index.php?page=../
定期清除oss文件(遍历文件夹,超过1000个文件夹)
linyiwwy的博客
10-05 584
【代码】定期清除oss文件(遍历文件夹,超过1000个文件夹)
aksk接管&oss存储桶接管综合利用——云资产管理工具
DamnVanish的博客
03-07 1181
目前 cloudTools 的定位是一款云安全工具☁️ 云存储工具:针对 OSS 存储的查看、删除、上传、下载、预览等操作。🛠️ 云服务工具:针对 RDS、ECS 服务器的接管、管理、远程命令执行等功能。
云安全-OSS存储桶漏洞总结
lza20001103的博客
02-25 1273
云安全-OSS存储桶漏洞总结
探索OSS.Tools:一站式云存储管理利器
gitblog_00061的博客
04-23 873
探索OSS.Tools:一站式云存储管理利器 去发现同类优质开源项目:https://gitcode.com/ 在数字化时代,云存储已成为企业与个人数据存储的重要手段。GitHub上的开源项目是一个集大成的工具集,专注于阿里云OSS(Object Storage Service)的管理和操作,旨在提供便捷、高效且安全的服务。本文将带你深入了解OSS.Tools的功能、技术特性及其应用场景。 项目简...
S3存储桶配置错误致成千上万印度板球球员个人信息泄露
weixin_33796205的博客
05-17 178
在本月早些时候,Kromtech安全中心的研究人员再次发现了两个因配置错误而在线暴露的Amazon S3存储桶。从数据的内容来看,它们似乎归属于印度板球管理委员会(Board of Control for Cricket in India,BCCI)。 BCCI是印度板球国家管理机构。研究人员表示,这两个暴露的S3存储桶包含有大量的敏感数据,涉及从2015年至今向BCCI提交赛季参赛申请的约1.5...
阿里云OSS存储Bucket 劫持漏洞
技术超强的网络安全平台
05-23 678
找目标实战 fofa指纹提供两个精准检索:body="NoSuchBucket" && body="BucketName" && body="aliyuncs.com"粗略检索:body="NoSuchBucket" && body="BucketName" 劫持利用环节 随机挑选 访问xxx.com提示 NoSuchBucket + BucketaName,这里就能想到了 阿里云 的bucket劫持漏洞
OSS存储桶密钥泄露【案例】
M1n9K1n9的博客
07-12 1595
同样的,在前几天的攻防演练中的经历,本文我们将为OSS存储桶单独做文章。
oss文件操作(文件列举、文件大小)
博客主要分享技术教程、工具教程、bug解决、前沿技术动态、编程经验、心得感悟等。 内容同步、干货获取、推广宣发请看侧栏推广信息
12-24 2818
oss对象存储可以存储各类型数据,更加灵活,云端管理,安全高效,详细介绍可参考百度文件列举OSS没有文件夹的概念,所有元素都是以文件来存储。创建文件夹本质上来说是创建了一个大小为0并以正斜线(/)结尾的文件。这个文件可以被上传和下载,控制台会对以正斜线(/)结尾的文件以文件夹的方式展示。关于创建文件夹的完整示例代码,请参见GitHub示例。
阿里云OSS对象存储Bucket 劫持漏洞复现
weixin_52501704的博客
09-06 2998
阿里云OSS对象存储Bucket 劫持漏洞复现
云存储泄露利用检测工具-Cloud-Bucket-Leak-Detection-Tools
SuperherRo的博客
08-22 671
六大云存储,泄露利用检测工具
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值