OpenBuckets for Web Apps

Je fouille dans les points de terminaison du cloud public depuis un certain temps, principalement par curiosité et lors de tests d'intrusion occasionnels. Je continue de rencontrer des cas où des entreprises ont simplement laissé leurs compartiments S3 grands ouverts, comme si quelqu'un avait oublié de verrouiller la porte. C’est là qu’intervient OpenBuckets. Ce n’est pas tape-à-l’œil, mais ça marche. Vous connectez un domaine ou une cible, et il analyse AWS, GCP et Azure pour un stockage accessible au public. Pas de connexion, pas de configuration : déposez simplement votre requête et attendez.

Les bonnes choses

La vraie victoire est la rapidité avec laquelle il trouve les choses. Je l’ai testé sur une entreprise au hasard dont je n’avais jamais entendu parler et, en 90 secondes, il a signalé trois compartiments ouverts contenant des fichiers sensibles. L’une d’entre elles disposait d’une base de données client complète en texte brut, sans cryptage ni contrôle d’accès. La fonction d'analyse secrète a détecté plus de 150 types de données sensibles, y compris des clés API et des mots de passe. Ce n'est pas quelque chose que vous obtenez avec des outils de base comme les scripts awscli ou bucket-finder. Et les options de filtrage ? Super utile. Vous pouvez affiner les résultats par type de fichier, taille ou même mots-clés. Cela m'a évité de passer des heures à trier les ordures.

Le moins bon

C'est définitivement une niche. Si vous n’effectuez pas de recherche sur la sécurité ou de red teaming, cela ne vous apportera pas grand-chose. De plus, aucun numéro de version ni aucun nombre de téléchargements ne donnent l'impression que c'est un peu hors réseau. Je serais plus à l'aise s'il y avait une licence claire ou des informations sur le développeur. Et oui, l’essentiel de l’interface utilisateur. Pas moche, juste… fonctionnel. Comme un terminal qui s'est habillé. Oh, et pas de bureau uniquement compatible avec les appareils mobiles. Mais honnêtement, c’est bien puisque la plupart des gens qui l’utilisent utilisent probablement des ordinateurs portables de toute façon.

Conclusion

Si vous aimez la sécurité du cloud, en particulier la recherche de données exposées, OpenBuckets for Web Apps vaut la peine d'être essayé. C'est gratuit, s'exécute dans votre navigateur et fait ce qu'il dit sans drame. Ce n’est pas aussi raffiné que certains outils payants comme Neuproscan, mais pour le prix nul, c’est solide. Je le recommanderais à tous ceux qui souhaitent vérifier rapidement les compartiments publics, en particulier lors de bug bounties ou d'audits. Ne vous attendez pas à des cloches et des sifflets. C’est le genre d’outil qui fait son travail en silence et vous évite une vilaine violation plus tard.