云存储泄露介绍

云存储是一种新兴信息存储方案，用户可以通过移动终端，例如智能手机、平板电脑等，随时随地将拍摄的照片和视频通过云存储传输到网盘中，在其他有网络的地方，通过页面或是电脑客户端就能非常便捷地取回照片。但随之而来的问题是，用户们上传的资料不是全部都能密文保存，对于未加密的这部分文件，管理员可以从服务端的平台中直接查看和删除。这种带有“主观能动性”的管理模式，一旦发生管理员违反职业操守的情况，就有可能造成严重的后果。

此外，假如服务商停止运营，用户在云上的个人隐私该如何得到保障？现在各大个人云服务商都争先升级网盘容量，抢占市场份额，但是无法回避的问题是，提供云服务每年的资金投入在5亿元以上，如此庞大的资金注入，如果没有良好的商业盈利模式，势必难有未来，如果服务商因亏损等原因导致破产关停服务，用户数据留存及数据安全将何去何从？

如果用户的移动终端或客户端用户名和密码泄露或被非法窃取，服务器上用户的隐私数据安全将难以保证。这意味着，用户上传到云上的资料信息越多、个人隐私越多，信息安全隐患就越大。

接下来，介绍一款云存储泄露检测工具——BucketScan

使用教程

git clone https://github.com/UzJu/Cloud-Bucket-Leak-Detection-Tools.git
cd Cloud-Bucket-Leak-Detection-Tools/
# 安装依赖 建议使用Python3.8以上的版本 我的版本: Python 3.9.13 (main, May 24 2022, 21:28:31)
# 已经测试版本如下
# 1、python3.8.9
# 2、python3.9.13
# 3、python3.7
# 4、python3.6.15
# 5、python3.9.6
pip3 install -r requirements.txt
python3 main.py -h

使用之前需要在config/conf.py文件配置自己对应的云厂商AK

1、阿里云存储桶

1.1、单个存储桶检测

python3 main.py -aliyun [存储桶URL]

1.2、自动存储桶劫持

当如果检测存储桶不存在时会自动劫持该存储桶

1.3、批量存储桶地址检测

# fofa语法
domain="aliyuncs.com"
server="AliyunOSS"domain="aliyuncs.com"

# 使用-faliyun
python3 main.py -faliyun url.txt

2、腾讯云存储桶

python3 main.py -tcloud [存储桶地址]

3、华为云存储桶

python3 main.py -hcloud [存储桶地址]

4、AWS存储桶

python3 main.py -aws [存储桶地址]

5、扫描结果保存

扫描结果会存放在results目录下

感兴趣的师傅可以去GitHub上自行下载