夜雨聆风由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号陌笙不太懂安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!
项目简介
Browser-BucketScan 是一款轻量易用的浏览器扩展工具,专为云存储桶安全检测设计,适配主流浏览器环境(摆脱 BurpSuite 版本兼容限制),可全面检测阿里云 OSS、腾讯云 COS、华为云 OBS、AWS S3、京东云 OSS、百度云 BOS、火山引擎 TOS 七种主流云存储桶的核心安全漏洞。
主要功能
一键全覆盖检测高危漏洞涵盖存储桶可遍历、PUT 文件上传、DELETE 文件删除、存储桶可接管、分段上传、删除 / 合并分块上传、Policy 可写、对象 / 桶 ACL 可读 / 可写等核心风险点。
全面适配七大主流云存储厂商支持阿里云 OSS、腾讯云 COS、华为云 OBS、AWS S3、京东云 OSS、百度云 BOS、火山引擎 TOS。
可视化检测结果与历史记录检测结果实时日志展示,并自动生成结构化历史记录,便于追溯核查。
红点醒目提醒,快速查阅检测完成后通过红点提示,点击弹窗即可快速查看历史检测数据。
差异化日志输出策略主动检测输出完整详细日志,被动检测仅写入历史记录,兼顾排查效率与数据留存。
精细化检测控制支持各项检测功能独立开关,可根据实际需求灵活开启或关闭指定检测项。
多格式数据导出支持将检测历史完整导出为 MD、CSV、HTML 格式,包含漏洞详情、检测参数及完整数据包,满足不同场景下的分析需求。
批量主动检测支持导入 URL 文件或粘贴多行 URL 进行批量自动检测,自动识别云厂商,检测结果实时展示。
支持的云厂商
阿里云 OSS
腾讯云 COS
华为云 OBS
AWS S3(含中国区)
京东云
百度云 BOS
火山云 TOS
MINIO
使用方法
安装扩展:
在 Chrome/Edge 浏览器扩展管理页面(chrome://extensions/)开启开发者模式,加载本项目目录。
主动检测:
点击扩展图标,打开日志窗口,输入存储桶URL,点击”开始检测”。
批量检测:支持在日志窗口粘贴多行URL(每行一个),或导入
.txt文件,自动逐个检测并实时显示结果。检测过程和结果会实时显示在日志窗口或者burpsuit的HTTP History中。
3.被动检测:
浏览器访问页面时自动检测 URL 中的云存储桶,发现漏洞会在历史中记录并红点提醒。
主要界面说明
主动批量检测:支持在日志窗口粘贴多行URL(每行一个),或导入
.txt文件,自动逐个检测并实时显示结果。打开方式:点击扩展图标,右键点击扩展图标选择"用 Browser-BucketScan 检测"
检测开关:位于扩展弹窗顶部,可灵活控制各项检测功能的开启/关闭。
启用检测:控制是否启用插件检测功能
检测ACL:控制是否检测ACL配置
检测Policy:控制是否检测Policy配置
检测遍历:控制是否检测存储桶可遍历
检测上传:控制是否检测PUT文件上传
检测删除:控制是否检测DELETE文件删除
检测接管:控制是否检测桶接管风险
检测分段上传:控制是否检测分段上传功能
历史记录:记录所有检测到的漏洞。
导出功能:位于扩展弹窗顶部,直接点击按钮即可导出检测历史。
导出MD:Markdown格式,包含完整漏洞信息和数据包,便于文档化
导出CSV:表格数据,便于Excel等工具打开
导出HTML:可视化报告,美观易读
导出内容包含完整的漏洞信息和数据包
红点提醒:有新漏洞时扩展图标显示红点,查看历史后自动清除。
黑名单域名添加
右击浏览器插件点击"选项"即可进入添加黑名单。
插件核心优势
跨浏览器支持:兼容 Chrome、Edge 等主流浏览器,无需安装任何额外软件。
便捷易用:作为浏览器扩展,即装即用,无需配置复杂环境。
实时检测:开启被动检测模式后,自动识别网页中加载的云存储桶文件 URL,一个都不遗漏。
全面覆盖:支持阿里云 OSS、腾讯云 COS、华为云 OBS、AWS S3、京东云 OSS、百度云 BOS、火山引擎 TOS 等七大主流云存储服务,同时具备 CDN 域名检测能力,覆盖范围广泛。
支持 MINIO 检测:可检测 MINIO 对象存储服务,进一步扩展检测边界。
精准识别:基于七大云厂商响应头中的
request-id特征进行匹配校验,有效降低误报率。黑名单管理:支持黑名单检测机制,可手动添加域名,并支持 TXT 格式黑名单的导入与导出,灵活过滤无需检测的目标。
详细报告:检测结果包含完整的请求与响应数据包,便于深入分析。
灵活配置:可根据实际需求开启或关闭各项检测功能,合理节省资源。
多种导出格式:支持 Markdown(MD)、CSV、HTML 三种格式导出,满足不同使用场景。
安全可靠:采用匿名访问检测方式,不携带用户凭证,保护隐私;仅上传无害文件,不会覆盖或删除系统原文件,使用更放心。
持续更新:定期优化检测逻辑,持续添加新功能与云厂商支持。
直观界面:科幻风格设计,美观易用,提升整体使用体验
注意事项
仅检测公开可访问的存储桶,无法检测需鉴权的私有桶。
检测请求为匿名访问,不会携带用户凭证。
检测结果仅供安全测试与自查,禁止用于非法用途。
工具链接
https://github.com/moyan222/Browser-BucketScan后台回复加群加入交流群
广告:cisp pte/pts &nisp1级2级低价报考
陌笙安全纷传圈子+陌笙src挖掘知识库+陌笙安全漏洞库+陌笙安全面试题库简单介绍(加入纷传圈子送知识库+漏洞库+面试题库)
如果觉得合适可以加入,圈子目前价格39.9元,价格只会根据圈子内容和圈子人数进行上调,不会下跌。。。
圈子福利
edu漏洞挖掘1v1指导出洞
陌笙src挖掘知识库介绍(内容持续更新中!!!)
信息收集(主域名信息收集,子域名信息收集等&会永久提供fofa-key助力)弱口令漏洞&未授权访问漏洞挖掘任意文件读取&删除&下载&上传漏洞sql注入漏洞url重定向漏洞csrf&ssrf漏洞挖掘XSS&XXE漏洞挖掘等等常见漏洞cors&目录遍历&越权漏洞挖掘EDUSRC(证书站挖掘案例分享&edusrc挖掘技巧分享)CNVD挖掘技巧分享&实战案例报告编写公益漏洞挖掘(公益src挖掘漏洞分享&提供补天1权重资产)SRC挖掘实战(针对各种常见功能总结的常见测试思路等快速提升)经典常见Nday漏洞(常见中间件&以及各种常见框架)复现云安全相关漏洞挖掘(云key扫盲&云存储桶&快速识别云环境&云攻防)AI相关学习(AI基础&AI代码审计实战测试&webLLM攻击等)APP&小程序漏洞挖掘等各模块不在一一介绍
信息收集
src挖掘基础
src挖掘实战
edusrc
经典nday复现
云安全&AI安全
陌笙安全漏洞库介绍
最新漏洞查看1day&0day分享EDU学校相关漏洞Web应用漏洞CMS漏洞OA产品漏洞中间件漏洞云安全漏洞人工智能漏洞其他漏洞
陌笙安全面试库
渗透测试基本问题一汇总渗透测试基本问题二汇总渗透测试基本问题三汇总微步护网面试题目长亭科技面试深信服护网面试启明星辰渗透测试面试题目安恒面试题目绿盟笔试题目360面试奇安信护网面试运维面试题目运维面试题库网安面试相关文档大全相关面试文章推荐等等
POC库&&更新适配afrog&&nuclei&&dddd的POC&1day/Nday等&&dddd二开工具[助力渗透测试&&红蓝攻防]
工具截图
实战效果
poc库【后续持续更新】
陌笙纷传圈子介绍
1、src挖掘思维导图,信息收集思维导图,edusrc挖掘思维导图,以及后续的红队&面试思维导图&自己网安笔记等持续更新2、2025-2026的edusrc实战报告包含证书站和非证书站以及2025之前的各种优质报思路分享3、各种src报告思路分享(内部&外部)4、分享各种src挖掘&edusrc挖掘培训资料&视频5、不定期分享通杀、0day6、有圈子群可以技术交流以及不定期抽取证书&免费rank7.分享各种护网资料各家安全厂商讲解视频&精选实战面试题目8、各种框架漏洞技巧分享9、各种源码分享(泛微、正方系统、用友等)10、漏洞挖掘工具&信息收集工具&内网渗透免杀等网安工具分享11、各种ctf资料以及题目分享12、cnvd挖掘技巧&CNVD资产&src资产分享&补天1权重资产分享&fofakey共用13、免杀、逆向、红队攻内网防渗透等课程分享14、漏洞库&字典以各种内容不在一一说明15、cisp-pte/pts&nisp一级&nisp二级&edusrc证书内部价格15、如果有漏洞挖掘问题或者工具资料需求可以找群主(尽量满足)
目前700多条内容,扫描下方二维码查看详情以及加入圈子,持续更新中。。
如果觉得合适可以加入,价格不定期会根据圈子内容和圈子人数进行上调。。
