freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何使用BlobHunter快速查找Azure中的泄露数据
2021-07-19 19:41:17

关于BlobHunter

BlobHunter是一款针对Azure的安全扫描工具,BlobHunter目前是一个开源项目,可以帮助广大研究人员扫描Azure Blob存储账号中的公开Blob或其他泄露数据。

BlobHunter可帮助广大研究人员识别Azure blob存储容器,并扫描出Bolb存储中对任何具有网络访问权的用户公开可用的文件。

该工具将通过识别存储敏感数据的配置不当的容器来帮助降低存储的安全风险,这对于较大规模的Azure Blob存储来说尤其有用,因为这些容器中可能会存在大量的账号,并增加扫描或跟踪的难度。

扫描完成之后,BlobHunter将生成一个包含丰富结果的CSV文件,并提供扫描环境中每个公开/开放容器的相关详细信息。

工具要求

Microsoft.Resources/subscriptions/read

Microsoft.Resources/subscriptions/resourceGroups/read

Microsoft.Storage/storageAccounts/read

Microsoft.Storage/storageAccounts/listkeys/action

Microsoft.Storage/storageAccounts/blobServices/containers/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

项目构建

以Ubuntu系统为例,我们可以使用下列命令完成BlobHunter的安装和配置:

curl -sL https://aka.ms/InstallAzureCLIDeb | sudo bash

接下来,安装依赖组件:

pip3 install -r requirements.txt

工具使用

我们只需要运行下列命令,即可使用BlobHunter:

python3 BlobHunter.py

如果你没有在Azure命令行接口中登录的话,此时将会弹出一个浏览器窗口,并提醒你输入Azure用户的凭证信息。

工具运行演示

GIF动画:【点我观看

项目地址

BlobHunter:【GitHub传送门

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

参考资料

https://www.cyberark.com/resources/threat-research-blog/hunting-azure-blobs-exposes-millions-of-sensitive-files

https://docs.microsoft.com/en-us/azure/role-based-access-control/built-in-roles

# Azure Blob存储 # Azure安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录