BucketTool：主要クラウドストレージバケットの脆弱性検出ブラウザ拡張

概要

BucketToolは、中国の主要なクラウドベンダーで提供されるストレージバケット（OSS、COS、OBS、AWS S3など）に対するセキュリティ脆弱性を検知するブラウザ拡張です。従来BurpSuiteプラグインとして提供されていた機能をブラウザベースに移行し、より手軽で互換性の高い形で脆弱性診断を実現しています。ユーザーはURLを入力し、ボタン一つで未認証アクセスやアップロード権限の有無、ACL設定ミス、バケット乗っ取りの可能性など複数のリスクをスキャン可能。結果はリアルタイムログや構造化された履歴として閲覧でき、継続的な監査と迅速な対応に役立てられます。

リポジトリの統計情報

スター数: 5
フォーク数: 0
ウォッチャー数: 5
コミット数: 2
ファイル数: 10
メインの言語: JavaScript

主な特徴

複数の主要クラウドストレージバケットに対応（阿里云OSS、腾讯云COS、华为云OBS、AWS S3）
一括でバケットのアクセス権限ミスや未認証アップロード、バケット乗っ取りなどの脆弱性を検出
検査結果のリアルタイムログ表示および構造化された履歴管理機能を搭載
ブラウザ拡張として動作し、BurpSuiteプラグインよりも手軽に使用可能

技術的なポイント

BucketToolはJavaScriptで開発されたブラウザ拡張として提供され、ChromeやEdgeなどのモダンブラウザに対応しています。従来のBurpSuiteプラグインはバージョン互換性の問題や環境依存が課題でしたが、本プロジェクトはブラウザ環境で完結することでユーザーの導入障壁を大きく下げています。

主要な技術的特徴は次の通りです。

マルチクラウド対応の検査ロジック
Alibaba Cloud OSS、Tencent Cloud COS、Huawei Cloud OBS、AWS S3といった異なるAPI仕様やレスポンス形式を持つ主要クラウドストレージに対応。各クラウドの特徴に合わせてバケットの存在確認、ファイル一覧の取得、ACL/ポリシーチェック、未認証アップロードテスト、バケット乗っ取りリスク検証を実装しています。これにより特定ベンダーに依存しない汎用的な脆弱性診断が可能です。
非同期通信とリアルタイムログ表示
バケット検査はHTTPリクエストを並列かつ非同期に送信し、応答の成否や内容を逐次解析。検査の進捗や結果はブラウザ拡張のポップアップ画面にリアルタイムでログとして表示され、ユーザーは検査状況を即座に把握できます。また、過去の検査結果は構造化された形式で履歴に保存され、いつでも見返せるようになっています。
ユーザーインターフェース
拡張機能のアイコンをクリックするとログウィンドウが開き、検査対象のクラウドベンダーの選択、バケットURLの入力、検査開始ボタンの操作で簡単に利用可能。検査結果に赤い通知バッジ（ドット）が表示されるため、未確認の脆弱性検出を見逃しません。
拡張機能の構成
Manifest.jsonで権限と動作を定義し、backgroundスクリプトで検査処理を管理。contentディレクトリにUI関連のコードを分離するなど、ブラウザ拡張のベストプラクティスに則った設計を採用しています。これによりメンテナンス性が高く、今後の機能追加や他クラウド対応も見据えた拡張が可能です。

このようにBucketToolは、エンドユーザーが特別な環境構築なしに主要クラウドストレージの脆弱性診断を行える点が最大の強みです。セキュリティエンジニアや運用担当者が手軽にリスクを発見し、適切な対処を促すための実用的なツールとなっています。

プロジェクトの構成

主要なファイルとディレクトリ：

Manifest.json：ブラウザ拡張の動作定義ファイル
README.md：日本語のプロジェクト説明
README_en.md：英語版README
background：バックグラウンドスクリプト群
content：UIやコンテンツスクリプト
その他JavaScriptファイルや設定ファイルが含まれる

まとめ

主要クラウドストレージの脆弱性を手軽に検査できる実用的なブラウザ拡張ツール。

リポジトリ情報：

名前: BucketTool
説明: 浏览器存储桶配置漏洞检测插件
スター数: 5
言語: JavaScript
URL: https://github.com/libaibaia/BucketTool
オーナー: libaibaia
アバター: https://avatars.githubusercontent.com/u/108923559?v=4