OSS存储桶遍历漏洞检测工具(附下载链接)

最新推荐文章于 2025-10-31 17:38:10 发布
原创 最新推荐文章于 2025-10-31 17:38:10 发布 · 498 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络安全

部署运行你感兴趣的模型镜像

   今天给大家推荐一个好用的OSS存储桶遍历漏洞检测工具,工具下载链接已附在下面,该工具为朋友推荐工具,可以用于OSS存储桶遍历检测,发现敏感信息。

一定要注意!!!!不要做违反法律法规的事情!!!

  • 未经授权扫描存储桶可能违反法律法规,测试需获得书面许可。
  • 工具仅限安全研究或授权渗透测试使用。

存储桶遍历漏洞检测工具介绍

对象存储服务(如AWS S3、阿里云OSS等)的ListBucket信息泄露漏洞是一种常见的安全隐患。当存储桶未正确配置访问权限时,攻击者可通过遍历存储桶内容获取敏感数据。手动测试效率低下,自动化工具有助于快速发现漏洞。

常用工具推荐

OSSFileBrowse

  • 功能:针对AWS S3存储桶的扫描工具,可检测公开可读的存储桶。
  • 下载地址:https://github.com/jdr2021/OSSFileBrowse/
  • 使用示例:
  • 命令行运行java -Dfile.encoding=UTF-8 -jar OSSFileBrowse-1.0-SNAPSHOT.jar、或者直接点击run.bat文件。 直接运行,如果存储桶上有中文,则会提示漏洞不存在。
  • 运行:
  • java -jar OSSFileBrowse-1.0-SNAPSHOT.jar

附上截图:

附上:漏洞修复建议

权限配置

  • 禁止匿名访问:设置存储桶策略为"Effect": "Deny"针对"Principal": "*"
  • 最小权限原则:仅允许必要IP或用户访问。

监控与审计

  • 启用存储桶访问日志,定期检查异常请求。
  • 使用云平台提供的敏感数据识别服务(如AWS Macie)。

注意事项

  • 未经授权扫描存储桶可能违反法律法规,测试需获得书面许可。
  • 工具仅限安全研究或授权渗透测试使用。

您可能感兴趣的与本文相关的镜像

GPT-oss:20b

GPT-oss:20b

图文对话
Gpt-oss

GPT OSS 是OpenAI 推出的重量级开放模型,面向强推理、智能体任务以及多样化开发场景

Nuclei漏洞扫描工具(除了常见漏洞还支持CMS常见漏洞Gitlab、Jira、Splunk、Elastic)
墨痕诉清风的博客
08-07 698
一款现代化的高性能漏洞扫描器,它利用基于 YAML 的简单模板。它使您能够设计模拟真实情况的自定义漏洞检测场景,从而实现零误报。用于创建和自定义漏洞模板的简单 YAML 格式。由数千名安全专家贡献,以解决流行漏洞。通过模拟真实世界的步骤来验证漏洞,从而减少误报。超快速并行扫描处理和请求聚类。集成到 CI/CD 管道中以进行漏洞检测和回归测试。支持多种协议,如 TCP、DNS、HTTP、SSL、WHOIS JavaScript、代码等。
多个SRC挖掘大佬都在使用的 OSS存储桶遍历漏洞检测工具下载链接
TG_punkll的博客
09-10 2694
多个SRC挖掘大佬都在使用的 OSS存储桶遍历漏洞检测工具下载链接
多厂商 OSS 存储桶漏洞扫描工具
最新发布
LiBai'S BLOG
10-31 667
OSS_Scanner 是一款多厂商 OSS 存储桶漏洞扫描工具,支持阿里云、腾讯云、华为云、AWS S3 等主流对象存储服务,可检测敏感文件泄露、匿名上传 / 删除、CORS 配置过宽等 10 + 类安全风险,帮助安全测试人员快速发现存储桶配置漏洞。
OSS存储桶漏洞总结
热门推荐
RMC131的博客
07-07 1万+
OSS,对象存储服务,对象存储可以简单理解为用来存储图片、音频、视频等非结构化数据的数据池。相对于主机服务器,具有读写速度快,利于分享的特点。OSS工作原理: 数据以对象(Object)的形式存储在OSS的存储空间(Bucket )中。如果要使用OSS存储数据,您需要先创建Bucket,并指定Bucket的地域、访问权限、存储类型等属性。创建Bucket后,您可以将数据以Object的形式上传到Bucket,并指定Object的文件名(Key)作为其唯一标识。
安全OSS存储桶中的安全问题
未完成的歌~的博客
03-24 2885
对象存储服务(Object Storage Service,OSS) 是一种面向非结构化数据的云存储服务,适用于海量数据的存储和管理。与传统的文件存储(如NAS)和块存储(如硬盘)不同,对象存储以“对象”为基本单元,通过唯一的标识符(如URL或Key)来访问数据,适合存储图片、视频、日志、备份等任意类型文件。对象存储中可以有多个桶(Bucket),然后把对象(Object)放在桶里,对象又包含了三个部分:Key、Data 和 Metadata。下面通过阿里云、华为云、腾讯云三个厂商总结一下常见的漏洞。
对象存储遍历文件url漏洞处理
weixin_42749814的博客
01-28 2403
访问时,会得到一个超大的XML,原来minio的桶有一个listObjects的功能,默认最多1000条记录,这就意味着,如果你打开永久下载链接模式,那么任何人可以通过桶路径来获取你保存的所有资源的信息,然后一个一个下载下来。http://minio_out_url/bucket_path/ 展示无权限。minio public桶禁止在直接访问桶位置时列出所有文件url,这就需要对minio地址进行设置。这里临时开下权限,屏蔽MINIO_BROWSER。2、点击bucket_path 设置权限。
工具分享 | OSSFileBrowse - 一款存储桶遍历漏洞利用工具,SRC挖掘必备,云安全漏洞挖掘必备,渗透必备,国外SRC挖掘必备。
IT软件汇
09-18 738
工具分享 | OSSFileBrowse - 一款存储桶遍历漏洞利用工具,SRC挖掘必备,云安全漏洞挖掘必备,渗透必备,国外SRC挖掘必备。
#渗透测试#漏洞挖掘#红蓝攻防#SRC漏洞挖掘#云安全#之OSS存储桶攻击
soc的博客
12-26 1847
对象存储OSS(Object Storage Service)是一种基于对象模型的存储服务,它将数据以对象的形式存储,每个对象由元数据、数据和唯一标识符组成,旨在为用户提供高可靠性、高可用性、高扩展性的海量数据存储解决方案。OSS(Object Storage Service,对象存储服务)是一种海量、安全、低成本、高可靠的云存储服务。OSS存储桶(Bucket)是OSS中的基本容器单元,用于存储对象(Object)。每个对象都是存储桶中的一个条目,包含数据、键(Key)和元数据(Metadata)。
Netflix Genie文件上传路径遍历漏洞
08-09
嗯,用户询问的是Netflix Genie文件上传路径遍历漏洞(CVE-2024-4701)的详细信息和修复方法。首先,我需要回顾一下之前的引用内容,其中提到这个漏洞影响4.3.18之前的所有版本,CVSS评分9.9,属于高危漏洞。漏洞...
软件安全:常见漏洞与检测方法解析
### 软件安全:常见漏洞与检测方法解析 #### 1. 软件安全概述 开发无缺陷的正确软件是一项极具挑战性的工作。操作系统和应用程序不断发布更新来修正错误和遗漏,这充分说明了开发的难度。而且,相当一部分更新并非...
C++内存泄漏检测工具深度对比:静态VS动态分析
[C++内存泄漏检测工具深度对比:静态VS动态分析](https://img-blog.csdnimg.cn/20200117184914109.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2d1b3...
谷歌云 对象存储攻防
mingyqf的博客
06-02 912
原文链接:https://zone.huoxian.cn/d/931 侵删1 3月已编辑本文主要介绍谷歌云对象存储攻防的方式 当创建的存储桶配置了allUsers拥有GCS对象的读取权限时,该存储桶可以被任何用户公开访问 当不存在时访问会提示NoSuchBucket 当存在时会出在下面情况,公开访问和拒绝访问 当对allUsers配置了Storage Object Viewer 或者Storage Legacy Bucket Reader权限时就会将存储桶内容遍历出来并且可以读文件内容 当存储桶配置了a
实战阿里云OSS云攻防
技术超强的网络安全平台
05-24 4633
写在前面 现在,云服务器逐渐进入人们的视野,越来越受欢迎,由于云服务器易管理,操作性强,安全程度高,很多大型厂商都选择将资产部署在云服务上,但随之也出现了一些安全问题,接下来将介绍五个案例,由于以下的案例大多都是真实案例,所以打码会打得严重些。 案例演示 从任意文件上传到任意文件覆盖 遇到一个文件上传点 先上传一个图片,并抓包,成功上传于是乎想要更改文件的类型为html,但是上传后不解析,继续更改Content-Type的值为text/html,上传后成功弹窗。 包如下: POST / HTTP/1.1
Minio public 权限 存在存储桶遍历漏洞 解决方案
weixin_37391237的博客
12-30 1124
可以看到,在action中有s3:ListBucket这一项是allow的,所以我们可以在浏览器中遍历目录,删除即可。自定义权限,删除遍历目录功能。
阿里云 OSS对象存储攻防【转载】
mingyqf的博客
05-31 3978
阿里云 OSS对象存储攻防 原文链接:https://zone.huoxian.cn/d/918-oss UzJu 24 2月 阿里云 OSS对象存储攻防 本文分为两个部分 第一部分介绍OSS对象存储攻防的方式 第二部分为真实漏洞案例 1、Bucket权限配置错误-公开访问 在创建Bucket桶时,默认是private的权限,如果在错误的配置下,给了listobject权限,就会导致可遍历存储桶 在此时如果选择公有读的话,会出现两种情况 1、在只配置读写权限设置为公有读或公共读写的情况..
安全-OSS存储桶漏洞总结
lza20001103的博客
02-25 2131
安全-OSS存储桶漏洞总结
安全-OSS存储桶遍历
m0_72199724的博客
10-27 474
OSS存储桶遍历
存储桶泄露检测工具教程
gitblog_01065的博客
08-22 529
--- ## 项目介绍 **云存储桶泄露检测工具** 是一个专为解决云服务中存储桶安全问题而设计的开源项目。由开发者 [UzJu](https://github.com/UzJu) 维护,旨在帮助企业和个人识别并防止其云存储资源意外公开,减少数据泄露风险。通过自动化扫描和智能分析,该项目能够高效地发现云端存储设置中的漏洞,保障云端数据的安全性。 ## 项目快速启动 ### 安装依赖 首先...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值