-
Notifications
You must be signed in to change notification settings - Fork 12
存储桶导出
404tk edited this page May 7, 2026
·
5 revisions
bucket-check在授权环境内枚举存储桶内容,用于验证防御平台对存储侧的资产可见性、暴露识别、数据访问调查能力:
- CSPM 是否能识别公开/过度授权的 bucket
- CNAPP / 数据安全平台能否关联 list object 调用到具体身份
- 数据访问日志(OSS 访问日志、S3 Server Access Log、CloudTrail data events 等)是否完整、字段是否足以支撑调查
⚠️ 责任使用:仅对自有 bucket 或已显式授权的 bucket 执行;list all会对账号下所有 bucket 发起 list 请求,提前与 bucket owner 对齐范围,并留意数据分类与合规约束。
支持 8 家厂商的对象存储服务:
| 厂商 | 服务 |
|---|---|
| alibaba | OSS |
| aws | S3 |
| tencent | COS |
| huawei | OBS |
| volcengine | TOS |
| jdcloud | OSS |
| gcp | GCS |
| ucloud | UFile |
Azure 暂不支持:当前 Blob 数据面枚举尚未启用,管理面 container 列表已通过 cloudlist 的 bucket 资产覆盖;如需对 Azure container 做暴露面验证,请使用 bucket-acl-check。
两个 action 在所有受支持厂商上行为一致:list 拉取对象列表(默认前 100 条)、total 仅统计对象数量。
默认 list all 会对账号下全部 bucket 各取前 100 条对象信息;也可以通过 set metadata 指定单个 bucket:
ctk > alibaba > set payload bucket-check
payload => bucket-check
ctk > alibaba > show options
Name Current Setting
---- ---------------
accesskey LTAIxxxxxxxxxxxxEXAMPLE
metadata list all
payload bucket-check
provider alibaba
region all
secretkey EXAMPLExxxxxxxxxxxxxxxKey
token
version Global
ctk > alibaba > run
[*] 12:00:00 Start enumerating OSS ...
[+] 12:00:02 4 objects found in test-bucket.
Key Size
--- ----
validation/object-1.txt 1.65 KB
validation/object-2.txt 1.65 KB
validation/object-3.txt 1.65 KB
validation/object-4.txt 1.65 KB
需要做更完整的数据面操作或合规核查时,推荐切换到云厂商官方工具:
- 阿里云 OSS:oss-browser、ossutil
- AWS S3:
aws s3/aws s3apiCLI - 腾讯云 COS:coscli
- 华为云 OBS:obsutil
- GCS:
gcloud storage/gsutil
ctk > alibaba > set metadata total all
metadata => total all
ctk > alibaba > run
[*] 12:01:54 Start enumerating OSS ...
[+] 12:01:56 test-bucket has 4 objects.
[+] 12:01:56 bucket1 has 14 objects.
[+] 12:01:57 bucket2 has 15 objects.
[+] 12:01:58 bucket3 has 1688 objects.
对超大 bucket 的全量统计耗时长、受网络波动影响,推荐切到阿里云 CloudShell 上跑 ossutil:
./ossutil64 du oss://examplebucket/dir/ --block-size GB
无人值守模式提供 bls(list)和 bcnt(total)两个 action:
ctk huawei bls -P lab-huawei # 全部 bucket,前 100 对象/桶
ctk huawei bls my-bucket -P lab-huawei # 单 bucket
ctk huawei bcnt -P lab-huawei --json # JSON 输出对象总数
执行过程会产生以下事件,用于检测规则与调查查询的基线对齐:
- Bucket 列表枚举(
ListBuckets/GetService) - 对象列举(
ListObjects/GetBucket) - 如启用了数据面日志:对象级
GetObject(若发生下载动作)
平台若无法关联这些调用到具体身份、IP、UA,或字段粒度过粗,都属于可验证的调查能力缺口。
bucket-check 在 demo 回放模式下 8 家全可跑通 list / total(Azure demo 不暴露 bucket-check,与生产能力声明一致)。