Tutoriales

Encuentre secretos cargados en un depósito público de S3

Escáner S3cret Esta herramienta está diseñada para proporcionar una capa complementaria a las mejores prácticas de seguridad de Amazon S3 mediante la búsqueda activa de secretos en depósitos públicos de S3.

Se puede ejecutar como una tarea programada o bajo demanda.

Automatice el flujo de trabajo

La automatización hará lo siguiente:

Enumere los cubos públicos en la cuenta (establezca la ACL en Público o el objeto puede ser público)
Enumere archivos de texto o confidenciales (es decir, .p12, .pgp, etc.)
Los archivos se descargan, escanean (usando truffleHog3) y se eliminan del disco, uno por uno después de completar la evaluación.
Los registros se crearán en el archivo logger.log.

requisitos previos

  1. Pitón 3.6 o superior
  2. TruffleHog3 está instalado en $PATH
  3. Un rol de AWS con los siguientes permisos:
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:GetLifecycleConfiguration",
                "s3:GetBucketTagging",
                "s3:ListBucket",
                "s3:GetAccelerateConfiguration",
                "s3:GetBucketPolicy",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "*"
        }
    ]
}
  1. Si está utilizando un archivo CSV, asegúrese de colocar el archivo en el accounts.csv en el interior csv Directorio, el formato es el siguiente:
Account name,Account id
prod,123456789
ci,321654987
dev,148739578

empezando

usar punto Instale los requisitos requeridos.

# Clone the repo
git clone 
# Install requirements
pip3 install -r requirements.txt
# Install trufflehog3
pip3 install trufflehog3

uso

debate valores describir necesario
-p, –aws_perfil nombre de perfil de aws para la clave de acceso
-r, –scanner_role El nombre del rol para el escáner aws
-m, –método Interno tipo de scaneado
-l, –last_modified 1-365 El número de días escaneados desde que se modificó el archivo por última vez; Predeterminado – 1

manifestación

LEER  Una característica de Azure que valida y reenvía Cobalt Strike Beacon

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba