文章总结： 文章介绍了云存储桶配置错误检测工具BucketTool及其二开版本谛听鉴。BucketTool是浏览器扩展，支持阿里云、腾讯云等4家厂商的OSS/COS/OBS/S3存储桶漏洞检测，包括遍历、未授权上传、ACL配置等问题，提供主动和被动两种检测模式。谛听鉴在此基础上扩展支持10家云厂商，新增目录回溯探测、页面内容扫描、右键菜单集成、一键导入导出等功能，覆盖七牛云、青云、京东云等国内主流平台，适用于日常安全测试、渗透测试和企业安全运维场景。 综合评分： 75 文章分类： 云安全,安全工具,漏洞分析,渗透测试,应用安全

工具推荐类-云存储桶捡漏神器

原创

驰骋chicheng 驰骋chicheng

AnWangsec

2026年2月10日 10:11 浙江

在云安全领域,存储桶配置错误是一个长期存在的高危漏洞类型。今天要介绍两款优秀的云存储桶检测工具——BucketTool和它的二开版本谛听鉴。

使用这个插件也是捡到过好几个漏洞的

原作:BucketTool

BucketTool 是一款创新的浏览器扩展,它将原本只能在BurpSuite中使用的云存储桶检测功能搬到了浏览器中。

核心功能

• 一键检测

  :支持阿里云OSS、腾讯云COS、华为云OBS、AWS S3

• 两种检测模式

  :

• 主动检测:手动输入URL,实时显示检测过程

• 被动检测:浏览时自动发现页面中的存储桶漏洞

• 漏洞类型覆盖

  :遍历、未授权上传、ACL/Policy配置、桶接管等

• 结果可视化

  :红点提醒+历史记录,方便追踪

优势亮点

相比传统的BurpSuite插件,BucketTool的优势在于:

• 无需考虑Burp版本兼容性问题
• 开箱即用,加载扩展即可使用
• 轻量便捷,适合日常快速检查

项目地址: https://github.com/libaibaia/BucketTool

进阶版:谛听鉴 全面升级的检测能力

基于BucketTool的优质基础,谛听鉴进行了大幅度优化和功能扩展,让云存储桶检测变得更加专业和高效。

核心升级点

1. 云厂商覆盖大幅扩展

支持从4家扩展到10家云厂商:

• 阿里云、腾讯云、华为云、亚马逊云
• 七牛云、青云、又拍云、京东云
• 金山云、天翼云

2. 检测能力增强

• 目录回溯探测

  :发现更多隐藏资源

• 页面内容扫描

  :深度分析存储桶内容

• 性能设置优化

  :灵活调整检测速度

• 底层逻辑优化

  :提升检测准确性和效率

3. 用户体验升级

• 界面UI改造

  :更加美观易用

• 右键菜单集成

  :右击页面可选择主动检测

• 一键导入导出

  :方便配置备份和团队协作

• 数据配置管理

  :结构化的检测结果管理

实际应用场景

日常安全测试:

• 浏览网站时被动发现存储桶漏洞
• 红点提醒不错过任何安全隐患

专业渗透测试:

• 右键快速启动主动检测
• 导出检测结果生成报告

企业安全运维:

• 批量扫描业务系统存储桶配置
• 配置导入导出便于团队协作

为什么推荐谛听鉴?

谛听鉴在实际使用中更加实用:

1. 云厂商覆盖更广

   :国内主流云厂商一网打尽，并且会进行扫描页面HTML中疑似云存储域名/URL并触发检测

2. 检测能力更强

   :目录回溯+内容扫描,发现更深层的配置问题

3. 使用更便捷

   :一键导出贴合实际工作流

获取方式

关注并进入公众号

回复关键字【云存储桶捡漏】获取下载链接

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AnWangsec 驰骋chicheng 驰骋chicheng《工具推荐类-云存储桶捡漏神器》