OpenBuckets for Web Apps

Ich stöbere schon seit einiger Zeit in öffentlichen Cloud-Endpunkten herum, hauptsächlich aus Neugier und gelegentlichen Pentesting-Auftritten. Ich stoße immer wieder auf Fälle, in denen Unternehmen ihre S3-Eimer einfach weit offen gelassen haben – als hätte jemand vergessen, die Tür abzuschließen. Hier kommt OpenBuckets ins Spiel. Es ist nicht auffällig, aber es funktioniert. Sie schließen eine Domäne oder ein Ziel an und es durchsucht AWS, GCP und Azure nach öffentlich zugänglichem Speicher. Keine Anmeldung, keine Einrichtung – geben Sie einfach Ihre Anfrage ein und warten Sie.

Die guten Sachen

Der wahre Vorteil besteht darin, wie schnell Dinge gefunden werden. Ich habe es bei einem zufällig ausgewählten Unternehmen getestet, von dem ich noch nie gehört hatte, und innerhalb von 90 Sekunden wurden drei offene Buckets mit vertraulichen Dateien angezeigt. Eines hatte eine vollständige Kundendatenbank im Klartext – keine Verschlüsselung, keine Zugriffskontrolle. Die geheime Scanfunktion erfasste über 150 Arten sensibler Daten, darunter API-Schlüssel und Passwörter. Das können Sie mit einfachen Tools wie awscli oder Bucket-Finder-Skripten nicht erreichen. Und die Filteroptionen? Super hilfreich. Sie können die Ergebnisse nach Dateityp, Größe oder sogar Schlüsselwörtern eingrenzen. Hat mir stundenlanges Durchsuchen des Mülls erspart.

Das nicht so Gute

Es ist definitiv eine Nische. Wenn Sie keine Sicherheitsforschung oder Red Teaming betreiben, wird Ihnen das nicht viel nützen. Außerdem gibt es keine Versionsnummer oder Anzahl der Downloads – es fühlt sich ein wenig vom Netz ab. Ich würde mich wohler fühlen, wenn es klare Lizenz- oder Entwicklerinformationen gäbe. Und ja, die Barebones der Benutzeroberfläche. Nicht hässlich, nur... funktional. Wie ein Terminal, das herausgeputzt wurde. Oh, und kein Desktop, der nur für den mobilen Support vorgesehen ist. Aber ehrlich gesagt ist das in Ordnung, da die meisten Leute, die dies verwenden, wahrscheinlich sowieso Laptops verwenden.

Fazit

Wenn Sie sich für Cloud-Sicherheit interessieren und insbesondere für die Suche nach exponierten Daten, ist OpenBuckets for Web Apps einen Versuch wert. Es ist kostenlos, läuft in Ihrem Browser und tut, was es verspricht, ohne Drama. Es ist nicht so ausgefeilt wie einige kostenpflichtige Tools wie Neuproscan, aber für den Preis ist es solide. Ich würde es jedem empfehlen, der schnell nach öffentlichen Buckets suchen möchte, insbesondere bei Bug Bounties oder Audits. Erwarten Sie einfach keinen Schnickschnack. Es handelt sich um ein Tool, das leise seine Arbeit erledigt und Sie später vor einem bösen Verstoß bewahrt.