[工具篇] 云安全工具推荐-云鉴(CloudSword)

admin 2024年12月22日01:54:59评论43 views字数 2446阅读8分9秒阅读模式
[工具篇] 云安全工具推荐-云鉴(CloudSword)
喜欢就关注我吧,订阅更多最新消息
[工具篇] 云安全工具推荐-云鉴(CloudSword)
工具介绍
[工具篇] 云安全工具推荐-云鉴(CloudSword)

云鉴 CloudSword 是一款帮助公有云租户快速发现云上风险、测试云上风险、增强云上防护能力的综合性开源工具。

作为一款面向安全人员的工具,云鉴可以帮助租户快速了解当前公有云环境中的资源信息、快速发现当前环境中可能存在的弱点从而方便安全人员进行修补,云鉴还预设了一些防御方法,方便安全人员快速部署从而增强云上的防御能力。

  • 全局中文输出,没有使用压力。
  • 命令补全提示,方便易于使用。
  • MSF 使用逻辑,极低学习成本。
  • 凭证不用落地,避免二次泄露。
[工具篇] 云安全工具推荐-云鉴(CloudSword)
使用方式
[工具篇] 云安全工具推荐-云鉴(CloudSword)
安装
brew tap wgpsec/tapbrew install wgpsec/tap/cloudsword
更新
brew updatebrew upgrade cloudsword
下载二进制包下载地址:
github.com/wgpsec/cloudsword/releases
下载系统对应的压缩文件,解压后在命令行中运行即可。
使用手册
https://wiki.teamssix.com/cloudsword/
01
集成模块

以下是云鉴目前所支持使用的模块:

 

序号
ID
云提供商
推荐评级
模块名称
描述
1
1101
阿里云
★★★★
list_cloud_assets
列出 OSS、ECS、RAM、Domain 服务资产
2
1201
阿里云
★★
oss_list_buckets
列出阿里云 OSS 对象存储桶
3
1202
阿里云
★★★★
oss_search_objects
搜索阿里云 OSS 对象
4
1203
阿里云
★★★
oss_bucket_only_upload_images
使用云函数限制存储桶只允许上传图片
5
1301
阿里云
★★
ecs_list_instances
列出阿里云 ECS 弹性计算实例
6
1401
阿里云
★★
ram_list_users
列出阿里云 RAM 用户
7
1402
阿里云
ram_list_roles
列出阿里云 RAM 角色
8
1403
阿里云
ram_create_user
创建阿里云 RAM 用户
9
1404
阿里云
ram_attach_policy_to_user
为阿里云 RAM 用户添加策略
10
1405
阿里云
★★★
ram_create_login_profile
创建阿里云 RAM 用户 Web 登录配置
11
1406
阿里云
ram_create_access_key
创建阿里云 RAM 用户访问凭证
12
1501
阿里云
domain_list_domains
列出阿里云 Domains 域名资产
13
2101
腾讯云
★★★★
list_cloud_assets
列出 COS、EVM、LH、RAM 服务资产
14
2102
腾讯云
★★★★★
create_honey_token
创建腾讯云访问凭证蜜标
15
2201
腾讯云
★★
cos_list_buckets
列出腾讯云 COS 对象存储桶
16
2301
腾讯云
★★
cvm_list_instances
列出腾讯云 CVM 弹性计算实例
17
2302
腾讯云
lh_list_instances
列出腾讯云 LH 轻量应用服务器
18
2401
腾讯云
★★
cam_list_users
列出腾讯云 CAM 用户
19
2402
腾讯云
cam_list_roles
列出腾讯云 CAM 角色
20
2403
腾讯云
cam_create_user
创建腾讯云 CAM 用户
21
2404
腾讯云
cam_attach_policy_to_user
为腾讯云 CAM 用户添加策略
22
2405
腾讯云
★★★
cam_create_login_profile
创建腾讯云 CAM 用户 Web 登录配置
23
2406
腾讯云
cam_create_access_key
创建腾讯云 CAM 用户访问凭证
24
3201
华为云
★★
obs_list_buckets
列出华为云 OBS 对象存储桶
25
4201
百度云
★★
bos_list_buckets
列出百度云 BOS 对象存储桶

 

01
快速上手
CloudSword > help全局命令========全局命令描述------------help查看帮助信息list列出模块quit退出程序search搜索模块use使用模块二级命令========二级命令描述------------info查看模块使用方法run运行模块set设置运行参数unset取消设置运行参数环境变量========环境变量描述------------CLOUD_SWORD_ACCESS_KEY_ID访问凭证 IDCLOUD_SWORD_ACCESS_KEY_SECRET访问凭证 SecretCLOUD_SWORD_SECURITY_TOKEN可选,访问凭证的临时令牌部分CLOUD_SWORD_DETAIL详细内容输出(设置 no 或者 yes
01
列出阿里云OSS对象存储
CloudSword > use 1201_aliyun_oss_list_bucketsCloudSword 阿里云 (1201_oss_list_buckets) > set ak_id XXXXXXXXXXXXak_id ==> XXXXXXXXXXXXCloudSword 阿里云 (1201_oss_list_buckets) > set ak_secret XXXXXXXXXXXXak_secret ==> XXXXXXXXXXXXCloudSword 阿里云 (1201_oss_list_buckets) > run[INFO] 2024-12-20 23:23:23 正在运行 1201_aliyun_oss_list_buckets 模块。[INFO] 2024-12-20 23:23:23 找到以下存储桶:XXXXXXXXXXXXXXXX
[工具篇] 云安全工具推荐-云鉴(CloudSword)

下载地址

[工具篇] 云安全工具推荐-云鉴(CloudSword)

https://github.com/wgpsec/cloudsword

注:本文中提到的漏洞验证 poc 或工具仅用于授权测试,任何未经授权的测试均属于非法行为。任何人不得利用本文中的技术手段或工具进行非法攻击和侵犯他人的隐私和财产权利。一旦发生任何违法行为,责任自负。

原文始发于微信公众号(扫地僧的茶饭日常):[工具篇] 云安全工具推荐-云鉴(CloudSword)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月22日01:54:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   [工具篇] 云安全工具推荐-云鉴(CloudSword)https://cn-sec.com/archives/3537892.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息