OpenBuckets for Web Apps

良いもの

本当の利点は、物事をいかに早く見つけるかです。聞いたこともないランダムな企業でテストしたところ、90 秒以内に、機密ファイルが含まれる 3 つの開いたバケットにフラグが付けられました。ある企業では、完全な顧客データベースが平文であり、暗号化もアクセス制御もありませんでした。シークレット スキャン機能は、API キーやパスワードを含む 150 種類を超える機密データを捕捉しました。これは、awscli やバケットファインダースクリプトなどの基本的なツールからは得られません。そしてフィルタリングオプションは?とても助かりました。ファイルの種類、サイズ、さらにはキーワードによって結果を絞り込むことができます。ゴミを選別する時間を節約できました。

あまり良くないこと

それは間違いなくニッチです。セキュリティ調査やレッドチームの活動をしていない場合、これはあまり役に立ちません。また、バージョン番号やダウンロード数がないため、少し常識外れな感じがします。明確なライセンスや開発者情報があれば、より安心できるでしょう。そう、UI は最低限のものです。醜いものではなく、ただ…機能的です。まるでドレスアップした端末のよう。ああ、デスクトップのみのモバイルサポートはありません。しかし、正直に言って、これを使用しているほとんどの人はおそらくラップトップを使用しているので、それは問題ありません。

結論

クラウド セキュリティ、特に公開されたデータの発見に興味がある場合は、OpenBuckets for Web Apps を試してみる価値があります。無料でブラウザ上で動作し、何のドラマもなく、言われたとおりに動作します。 Neuproscan などの一部の有料ツールほど洗練されていませんが、価格がゼロの割にはしっかりしています。特にバグ報奨金や監査中にパブリック バケットをすばやく確認したい人にはお勧めします。付加機能を期待しないでください。これは、静かに機能し、後で厄介な侵害からあなたを守ってくれる種類のツールです。