OpenBuckets for Web Apps

好东西

真正的胜利在于它找到东西的速度有多快。我在一家我从未听说过的随机公司上对其进行了测试，在 90 秒内，它标记了三个包含敏感文件的打开存储桶。其中一个拥有完整的纯文本客户数据库——没有加密，没有访问控制。秘密扫描功能捕获了 150 多种敏感数据，包括 API 密钥和密码。这不是从 awscli 或 Bucket-finder 脚本等基本工具中获得的东西。以及过滤选项？超级有帮助。您可以按文件类型、大小甚至关键字来缩小结果范围。节省了我筛选垃圾的时间。

不太好的

这绝对是利基市场。如果您不进行安全研究或红队，这对您没有多大作用。此外，没有版本号或下载次数，让人感觉有点脱离网格。如果有明确的许可证或开发人员信息，我会更放心。是的，用户界面是准系统。不难看，只是……实用。就像一个盛装打扮的终端。哦，没有移动支持，仅支持桌面。但老实说，这很好，因为大多数使用它的人可能都在笔记本电脑上。

底线

如果您对云安全感兴趣，尤其是寻找暴露的数据，OpenBuckets for Web Apps 值得一试。它是免费的，在您的浏览器中运行，并且按照它所说的进行操作，没有任何戏剧性。它不像 Neuproscan 等一些付费工具那么精致，但对于零价格来说，它很可靠。我会向任何想要快速检查公共存储桶的人推荐它，特别是在错误赏金或审计期间。只是不要期待花里胡哨的东西。这种工具可以悄悄地完成其工作，并在以后将您从严重的漏洞中拯救出来。