OpenBuckets for Web Apps

È da un po' che frugo tra gli endpoint del cloud pubblico, principalmente per curiosità e occasionali concerti di pentesting. Continuo a imbattermi in casi in cui le aziende hanno lasciato i contenitori S3 spalancati, come se qualcuno si fosse dimenticato di chiudere a chiave la porta. È qui che entra in gioco OpenBuckets. Non è appariscente, ma funziona. Collega un dominio o una destinazione ed esegue la scansione su AWS, GCP e Azure per individuare lo spazio di archiviazione accessibile pubblicamente. Nessun accesso, nessuna configurazione: basta inserire la query e attendere.

La roba buona

La vera vittoria è la velocità con cui trova le cose. L’ho testato su un’azienda a caso di cui non avevo mai sentito parlare e in 90 secondi ha segnalato tre contenitori aperti con file sensibili. Uno aveva un database completo di clienti in testo semplice: senza crittografia, senza controllo degli accessi. La funzionalità di scansione segreta ha rilevato oltre 150 tipi di dati sensibili, comprese chiavi API e password. Questo non è qualcosa che ottieni da strumenti di base come awscli o script di ricerca dei bucket. E le opzioni di filtro? Molto utile. Puoi restringere i risultati per tipo di file, dimensione o persino parole chiave. Mi ha risparmiato ore passate a setacciare la spazzatura.

Il non-così-buono

È sicuramente di nicchia. Se non stai facendo ricerche sulla sicurezza o red teaming, questo non farà molto per te. Inoltre, nessun numero di versione o numero di download lo fa sembrare un po' fuori dagli schemi. Mi sentirei più a mio agio se ci fosse una licenza chiara o informazioni sullo sviluppatore. E sì, l'interfaccia utente è essenziale. Non brutto, solo... funzionale. Come un terminale che si è vestito. Oh, e nessun desktop con solo supporto mobile. Ma onestamente, va bene, dato che la maggior parte delle persone che lo utilizzano probabilmente utilizzano comunque laptop.

In conclusione

Se ti interessa la sicurezza del cloud, in particolare la ricerca di dati esposti, vale la pena provare OpenBuckets per app Web. È gratuito, funziona nel tuo browser e fa quello che dice senza drammi. Non è raffinato come alcuni strumenti a pagamento come Neuproscan, ma per il prezzo zero è solido. Lo consiglierei a chiunque voglia verificare rapidamente la presenza di bucket pubblici, soprattutto durante bug bounties o audit. Basta non aspettarti campanelli e fischietti. È il tipo di strumento che fa silenziosamente il suo lavoro e ti salva da una brutta violazione in seguito.