如何使用S3cret Scanner搜索公共S3 Bucket中的敏感信息
关于S3cret Scanner
S3cret Scanner是一款针对S3 Bucket的安全扫描工具,在该工具的帮助下,广大研究人员可以轻松扫描上传到公共S3 Bucket中的敏感信息。
S3cret Scanner工具旨在为Amazon S3安全最佳实践提供一个补充层,该工具可以通过主动搜索模式来搜索公共S3 Bucket中的敏感数据。值得一提的是,该工具支持通过计划任务执行或手动按需执行。
自动化工作流
该工具的自动化工作流将会自动执行下列操作:
1、枚举目标账号中的公共Bucket(ACL设置为了Public或objects can be public); 2、枚举敏感文本数据或敏感文件(例如.p12或.pgp等); 3、可以从目标磁盘中下载、扫描(使用truffleHog3)和删除文件,评估完成后,再逐个删除文件; 4、支持在logger.log文件中存储日志信息;
工具要求
1、Python 3.6 +
2、TruffleHog3(并在$PATH中设置好环境变量);
3、一个包含下列权限的AWS角色:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetLifecycleConfiguration",
"s3:GetBucketTagging",
"s3:ListBucket",
"s3:GetAccelerateConfiguration",
"s3:GetBucketPolicy",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*"
}
]
}
(向右滑动、查看更多)
4、如果你使用了一个CSV文件,请确保csv目录中存储了这个csv文件(accounts.csv),文件格式如下:
Account name,Account id
prod,123456789
ci,321654987
dev,148739578
工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/Eilonh/s3crets_scanner.git
(向右滑动、查看更多)
接下来,使用pip3和项目提供的requirements.txt安装该工具所需的依赖组件(包括TruffleHog3):
pip3 install -r requirements.txt
pip3 install trufflehog3
工具使用
命令参数 | 可选值 | 参数描述 | 是否必须 |
---|---|---|---|
-p, --aws_profile | 访问密钥的AWS账号名称 | ✓ | |
-r, --scanner_role | AWS扫描器的角色名称 | ✓ | |
-m, --method | internal | 扫描类型 | ✓ |
-l, --last_modified | 1-365 | 自动文件上一次被修改后的扫描天数; 默认为- 1 | ✗ |
工具使用样例
python3 main.py -p secTeam -r secteam-inspect-s3-buckets -l 1
(向右滑动、查看更多)
工具使用演示
许可证协议
本项目的开发与发布遵循Apache2.0开源许可证协议。
项目地址
S3cret Scanner:
https://github.com/Eilonh/s3crets_scanner
参考资料:
https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html https://medium.com/@hareleilon/hunting-after-secrets-accidentally-uploaded-to-public-s3-buckets-7e5bbbb80097
相关文章
- Go 程序太大了,能要个延迟初始化不?
- 操作系统产业峰会2022召开 openEuler(欧拉)成为数字基础设施坚实底座
- 在 Linux 上微调 Nginx 获得优秀性能的八种方法
- Cloudera推出首款一体化数据湖仓云服务
- 分享一个小工具:duf 命令
- Linux 6.3 将进一步改进可重启序列(RSEQ),以提升运算性能
- 关联数据赋能智能化业务
- 解锁暗数据潜在业务价值的关键方法
- 基于OpenHarmony的智联北斗海防系统
- Zadig 面向开发者的自测联调子环境技术方案详解
- 深入理解 Linux 物理内存分配全链路实现
- 尘埃落定!IE永别,Edge接棒
- 你需要知道的ES6—ES13开发技巧!
- Harmonoid:基本够用的漂亮的跨平台音乐播放器
- 这三个 Go 水平自测题,手写不出来还是先老实上班吧
- 如何修复 Windows Update 更新错误 0x8024a205
- 技术管理如何应对混合工作模式转变
- 我来教你如何组装一个注册中心?
- 基于Java UI开发的小游戏—推箱子(上)
- 为什么 ThreadLocal 可以做到线程隔离?