如何使用S3cret Scanner搜索公共S3 Bucket中的敏感信息
2022-12-28 19:12:4 Author: FreeBuf(查看原文) 阅读量:9 收藏

 关于S3cret Scanner 

S3cret Scanner是一款针对S3 Bucket的安全扫描工具,在该工具的帮助下,广大研究人员可以轻松扫描上传到公共S3 Bucket中的敏感信息。

S3cret Scanner工具旨在为Amazon S3安全最佳实践提供一个补充层,该工具可以通过主动搜索模式来搜索公共S3 Bucket中的敏感数据。值得一提的是,该工具支持通过计划任务执行或手动按需执行。

 自动化工作流 

该工具的自动化工作流将会自动执行下列操作:

1、枚举目标账号中的公共Bucket(ACL设置为了Public或objects can be public);

2、枚举敏感文本数据或敏感文件(例如.p12或.pgp等);

3、可以从目标磁盘中下载、扫描(使用truffleHog3)和删除文件,评估完成后,再逐个删除文件;

4、支持在logger.log文件中存储日志信息;

 工具要求 

1、Python 3.6 +

2、TruffleHog3(并在$PATH中设置好环境变量);

3、一个包含下列权限的AWS角色:

{    "Version""2012-10-17",    "Statement": [        {            "Sid""VisualEditor0",            "Effect""Allow",            "Action": [                "s3:GetLifecycleConfiguration",                "s3:GetBucketTagging",                "s3:ListBucket",                "s3:GetAccelerateConfiguration",                "s3:GetBucketPolicy",                "s3:GetBucketPublicAccessBlock",                "s3:GetBucketPolicyStatus",                "s3:GetBucketAcl",                "s3:GetBucketLocation"            ],            "Resource""arn:aws:s3:::*"        },        {            "Sid""VisualEditor1",            "Effect""Allow",            "Action""s3:ListAllMyBuckets",            "Resource""*"        }    ]}

(向右滑动、查看更多)

4、如果你使用了一个CSV文件,请确保csv目录中存储了这个csv文件(accounts.csv),文件格式如下:

Account name,Account idprod,123456789ci,321654987dev,148739578

 工具下载 

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/Eilonh/s3crets_scanner.git

(向右滑动、查看更多)


接下来,使用pip3和项目提供的requirements.txt安装该工具所需的依赖组件(包括TruffleHog3):

pip3 install -r requirements.txtpip3 install trufflehog3

 工具使用 

命令参数

可选值

参数描述

是否必须

-p, --aws_profile


访问密钥的AWS账号名称

-r, --scanner_role


AWS扫描器的角色名称

-m, --method

internal

扫描类型

-l, --last_modified

1-365

自动文件上一次被修改后的扫描天数; 默认为- 1

 工具使用样例 

python3 main.py -p secTeam -r secteam-inspect-s3-buckets -l 1

(向右滑动、查看更多)


 工具使用演示 

 许可证协议 

本项目的开发与发布遵循Apache2.0开源许可证协议。

 项目地址 

S3cret Scanner

https://github.com/Eilonh/s3crets_scanner

参考资料:

https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html

https://medium.com/@hareleilon/hunting-after-secrets-accidentally-uploaded-to-public-s3-buckets-7e5bbbb80097

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651212083&idx=4&sn=d1bc00823f89f2f7c62c96d9b996e71e&chksm=bd1ddbb88a6a52aea108f72ac7e7829d3661c8079d1c8943b0841bc57dd04bea3e9fd0e0b152#rd
如有侵权请联系:admin#unsafe.sh