Technologische Neuigkeiten, Bewertungen und Tipps!
Blogs2

S3crets Scanner: Ein kostenloses Tool zum Scannen offener Amazon S3-Buckets

August 8, 2024

Damit Red-Teamer die Amazon S3-Buckets finden können, hat ein Sicherheitsforscher ein Tool namens S3crets-Scanner kostenlos.

Nachdem die offengelegten Amazon S3-Buckets gefunden wurden, verwendet dieses Tool Trufflehog3, um die Geheimnisse wie API-Schlüssel, Anmeldeinformationen, Zugriffstoken usw. in den offengelegten Datenbanken zu scannen, die von Hackern für böswillige Zwecke gestohlen werden können.

Scannen von Amazon S3-Buckets

Für Unbekannte: Amazon S3 ist eine einfache Cloud-Speicherlösung, die vor allem von Unternehmen genutzt wird, um ihre Anwendungs- und Kundendaten in Form von Buckets für den einfachen Abruf zu hosten. Obwohl sie robust sind, liegt es in der Hand des Benutzers, sie vor der Verwendung richtig zu konfigurieren.

Andernfalls könnten die darin gespeicherten vertraulichen Daten an Angreifer weitergegeben werden, die ständig im Internet nach gefährdeten Servern suchen. In der Vergangenheit gab es zahlreiche Vorfälle, bei denen Unternehmen aufgrund falscher Konfigurationen vertrauliche Daten verloren.

Also, Wir haben jetzt ein kostenloses Tool namens S3crets Scanner von Eilon Harel, einem Sicherheitsforscher. Er hat es als Open-Source-Tool auf GitHub veröffentlicht, mit den folgenden Funktionen:

  • Verwenden Sie CSPM, um eine Liste öffentlicher Buckets abzurufen
  • Auflisten des Bucket-Inhalts über API-Abfragen
  • Suchen Sie nach offengelegten Textdateien
  • Laden Sie die relevanten Textdateien herunter
  • Inhalte nach Geheimnissen durchsuchen
  • Ergebnisse an SIEM weiterleiten

Beim Auffinden eines exponierten Amazon S3-Servers, Der S3crets-Scanner verwendet ein anderes Tool namens Trufflehog3, um die Geheimnisse in einem Textdokument zu scannen. Die Tools können nach „Geheimnissen“ wie Authentifizierungsschlüsseln, Zugriffstoken und API-Schlüsseln suchen, die fälschlicherweise in Dokumenten hinterlassen werden, die in öffentlich zugänglichen Amazon S3-Buckets gespeichert sind.

Neben dem Scannen der Textdateien in Amazon S3-Buckets kann Trufflehog3 auch Geheimnisse in GitHub, GitLab und anderen Dateisystemen scannen. Harel sagte, dieses Tool sei kostenlos, damit Red-Teamer und White-Hat-Hacker das Internet kostenlos scannen können, um exponierte Amazon-Server zu finden und sie verantwortungsbewusst zu melden.

Your Header Sidebar area is currently empty. Hurry up and add some widgets.