[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"project-81115":3},{"id":4,"name":5,"fullName":6,"owner":7,"repo":5,"description":8,"homepage":8,"htmlUrl":8,"language":9,"languages":8,"totalLinesOfCode":8,"stars":10,"forks":11,"watchers":12,"openIssues":13,"contributorsCount":13,"subscribersCount":13,"size":13,"stars1d":14,"stars7d":15,"stars30d":15,"stars90d":13,"forks30d":13,"starsTrendScore":15,"compositeScore":16,"rankGlobal":8,"rankLanguage":8,"license":8,"archived":17,"fork":17,"defaultBranch":18,"hasWiki":19,"hasPages":17,"topics":20,"createdAt":8,"pushedAt":8,"updatedAt":21,"readmeContent":22,"aiSummary":23,"trendingCount":13,"starSnapshotCount":13,"syncStatus":11,"lastSyncTime":24,"discoverSource":25},81115,"Browser-BucketScan","moyan222\u002FBrowser-BucketScan","moyan222",null,"JavaScript",44,2,35,0,3,9,1.43,false,"master",true,[],"2026-06-12 02:04:11","# Browser-BucketScan\n\n## 项目简介\n\nBrowser-BucketScan 是一款轻量易用的浏览器扩展工具，专为云存储桶安全检测设计，适配主流浏览器环境（摆脱 BurpSuite 版本兼容限制），可全面检测**阿里云 OSS、腾讯云 COS、华为云 OBS、AWS S3、京东云 OSS、百度云 BOS、火山引擎 TOS** 七种主流云存储桶的核心安全漏洞。\n\n## 主要功能\n- 一键全覆盖检测存储桶高危漏洞，涵盖**存储桶可遍历、PUT文件上传、DELETE文件删除、存储桶可接管、分段上传、可删除分块上传、可合并分块上传、Policy可写、对象ACL可读、桶ACL可读、对象ACL可写、桶ACL可写**等核心风险点\n- **全面适配七大主流云存储厂商：阿里云OSS、腾讯云COS、华为云OBS、AWS S3、京东云OSS、百度云BOS、火山引擎TOS**\n- 检测结果实时日志可视化展示，同时生成结构化历史记录，便于追溯核查\n- 检测结果红点醒目提醒，点击弹窗即可快速查阅历史检测数据\n- 差异化日志输出策略：主动检测时输出完整详细日志，被动检测仅写入历史记录，兼顾排查效率与数据留存\n- 精细化检测控制：支持各项检测功能独立开关控制，可根据实际需求灵活开启\u002F关闭指定检测项\n- 多格式数据导出：**支持将检测历史完整导出为MD、CSV、HTML格式**，包含漏洞详情、检测参数及完整数据包，满足不同场景分析需求\n- **批量主动检测**：支持**导入URL文件或粘贴多行URL进行批量自动检测，自动识别云厂商，检测结果实时展示**\n\n## 插件优点\n\n- **跨浏览器支持**：兼容 Chrome、Edge 等主流浏览器，无需安装额外软件\n- **便捷易用**：作为浏览器扩展，随时可用，无需配置复杂环境\n- **实时检测**：被动检测模式下**自动检测网页中的云存储桶URL，无需手动输入，只要加载了放在云存储桶上的文件URL，一个都不会放过。**\n- **全面覆盖**：支持阿里云 OSS、腾讯云 COS、华为云 OBS、AWS S3、京东云 OSS、百度云 BOS、火山引擎 TOS 七大主流云存储服务，同时**支持检测CDN域名**，覆盖范围广\n- **支持MINIO检测**：**支持检测MINIO对象存储服务**，扩展检测范围\n- **精准识别**：基于七大云厂商响应头中request-id特征进行匹配校验，有效降低漏洞检测误报率\n- **黑名单管理**：支持黑名单检测机制，**可手动添加黑名单域名，同时支持 TXT 格式黑名单的导入与导出，灵活过滤无需检测的目标**\n- **详细报告**：检测结果包含完整的请求 \u002F 响应数据包，便于深入分析\n- **灵活配置**：可根据需求开启 \u002F 关闭各项检测功能，节省资源\n- **多种导出格式**：支持 Markdown(MD)、CSV、HTML 三种格式导出，满足不同场景需求\n- **安全可靠**：匿名访问检测，不会携带用户凭证，保护用户隐私，**上传无害文件、不会覆盖删除原系统文件**，放心使用\n- **持续更新**：定期优化检测逻辑，添加新功能和云厂商支持\n- **直观界面**：科幻风格设计，美观易用，提升用户体验\n\n## 支持的云厂商\n- 阿里云 OSS\n- 腾讯云 COS\n- 华为云 OBS\n- AWS S3（含中国区）\n- 京东云\n- 百度云 BOS\n- 火山云 TOS\n- MINIO\n\n## 使用方法\n1. **安装扩展**：\n   \n   - 在 Chrome\u002FEdge 浏览器扩展管理页面（chrome:\u002F\u002Fextensions\u002F）开启开发者模式，加载本项目目录。\n2. **主动检测**：\n   - 点击扩展图标，打开日志窗口，输入存储桶URL，点击”开始检测”。\n   - **批量检测**：支持在日志窗口粘贴多行URL（每行一个），或导入 `.txt` 文件，自动逐个检测并实时显示结果。\n   - 检测过程和结果会实时显示在日志窗口或者burpsuit的HTTP History中。\n   \n   ![image-20260517021714134](.\u002Fimgs\u002Fimage-20260517021714134.png)\n3. **被动检测**：\n   \n   - 浏览器访问页面时自动检测 URL 中的云存储桶，发现漏洞会在历史中记录并红点提醒。\n\n## 主要界面说明\n- **主动批量检测**：支持在日志窗口粘贴多行URL（每行一个），或导入 `.txt` 文件，自动逐个检测并实时显示结果。\n  \n  - **打开方式**：点击扩展图标，**右键点击扩展图标选择\"用 Browser-BucketScan 检测\"**\n\n  ![image-20260517014950510](.\u002Fimgs\u002Fimage-20260517014950510.png)\n\n  ![image-20260512020139086](.\u002Fimgs\u002Fimage-20260512020139086.png)\n\n  \n  \n- **检测开关**：位于扩展弹窗顶部，可灵活控制各项检测功能的开启\u002F关闭。\n  \n  - 启用检测：控制是否启用插件检测功能\n  - 检测ACL：控制是否检测ACL配置\n  - 检测Policy：控制是否检测Policy配置\n  - 检测遍历：控制是否检测存储桶可遍历\n  - 检测上传：控制是否检测PUT文件上传\n  - 检测删除：控制是否检测DELETE文件删除\n  - 检测接管：控制是否检测桶接管风险\n  - 检测分段上传：控制是否检测分段上传功能\n  \n- **历史记录**：记录所有检测到的漏洞。\n  ![image-20260512015612300](.\u002Fimgs\u002Fimage-20260512015612300.png)\n\n- **导出功能**：位于扩展弹窗顶部，直接点击按钮即可导出检测历史。\n  \n  - 导出MD：Markdown格式，包含完整漏洞信息和数据包，便于文档化\n  \n  - 导出CSV：表格数据，便于Excel等工具打开\n  \n  - 导出HTML：可视化报告，美观易读\n  \n  - 导出内容包含完整的漏洞信息和数据包\n  \n  ![image-20260512020409628](.\u002Fimgs\u002Fimage-20260512020409628.png)\n  \n- **红点提醒**：有新漏洞时扩展图标显示红点，查看历史后自动清除。\n\n\n\n## 黑名单域名添加\n\n右击浏览器插件点击\"选项\"即可进入添加黑名单。\n\n![image-20260510205718244](.\u002Fimgs\u002Fimage-20260510205718244.png)\n\n## 注意事项\n- 仅检测公开可访问的存储桶，无法检测需鉴权的私有桶。\n- 检测请求为匿名访问，不会携带用户凭证。\n- 检测结果仅供安全测试与自查，禁止用于非法用途。\n\n---\n\n如有建议或问题，欢迎反馈！\n\n## 更新记录\n\n- 2026-05-16\n  \n  - 新增：批量主动检测功能，支持导入URL文件或粘贴多行URL批量检测\n  - 新增：自动识别云厂商，根据URL域名自动匹配对应厂商检测\n  - 优化：日志窗口增加URL输入区域和文件导入按钮，提升使用体验\n- 优化：README文档更新，添加批量检测相关说明\n  \n- 2025-12-28\n  - 优化：所有云厂商的所有检测项添加request-id响应头校验，减少误报\n    - AWS: x-amz-request-id\n    - 阿里云: x-oss-request-id\n    - 华为云: x-obs-request-id（已支持）\n    - 腾讯云: x-cos-request-id\n    - 百度云: x-bce-request-id\n    - 京东云: X-Amz-Request-Id\n    - 火山云: x-tos-request-id\n\n  - 修复：background.js中的连接错误，使用带错误处理的回调形式调用chrome.tabs.sendMessage\n\n  - 修复：京东云检测逻辑，修正缩进错误，确保DELETE检测独立执行\n\n  - 优化：京东云检测，确保根目录检测，添加StorageClass关键字到遍历检测\n\n  - 优化：京东云检测，添加ListMultipartUploadsResult关键字到分块上传检测\n\n  - 优化：AWS和京东云的PUT\u002FDELETE检测，支持无需列桶即可检测\n\n  - 新增：黑名单导入\u002F导出功能，支持跨设备和重装后数据迁移\n\n  - 修复：百度云抓取对象存储成功检测，添加x-bce-request-id响应头校验\n\n  - 修复：各云厂商检测项中缺少request-id校验导致的误报问题\n\n  - 优化：各云厂商检测逻辑，提高检测准确性和可靠性\n\n- 2025-12-20\n  - 新增：火山云TOS支持，通过Server: TosServer或x-tos-request-id响应头识别\n\n  - 新增：火山云TOS检测项，包括遍历、上传、删除、ACL、分段上传、可删除分块上传等\n\n  - 优化：火山云TOS检测逻辑，适配JSON响应格式\n\n  - 修复：火山云TOS检测中的JavaScript错误\n\n  - 新增：各云厂商支持可删除分块上传检测\n\n  - 新增：各云厂商支持对象ACL读写检测\n\n  - 优化：百度云ACL检测，区分桶ACL和对象ACL\n\n  - 优化：腾讯云ACL检测，区分桶ACL和对象ACL\n\n  - 优化：AWS ACL检测，区分桶ACL和对象ACL\n\n  - 优化：京东云检测，新增可合并分块上传检测\n\n  - 修复：腾讯云对象ACL可写检测，使用public-read-write替代bucket-owner-full-control\n\n  - 优化：各云厂商检测逻辑，提高检测准确性\n\n  - 新增：检测功能开关控制，支持启用\u002F关闭各项检测\n\n  - 新增：检测开关包括：检测遍历、检测上传、检测删除、检测接管、检测分段上传\n\n  - 优化：导出功能，将导出按钮从下拉菜单改为直接按钮\n\n  - 优化：MD导出内容，包含完整数据包和元信息\n\n  - 新增：导出功能支持MD、CSV、HTML三种格式\n\n  - 修复：background.js中缺少开关参数的问题\n\n  - 修复：各云厂商检测文件中缺少开关条件判断的问题\n\n  ![image-20260512015612300](.\u002Fimgs\u002Fimage-20260512015612300.png)\n\n    导出结果记录详细数据包方便直接复制\n\n  ![image-20260511015737856](.\u002Fimgs\u002Fimage-20260511015737856.png)\n\n- 2025-12-18\n  - 增强：AWS检测逻辑支持MinIO\n  - 新增：多级目录列桶检测，适应MinIO特性\n  - 修复：ACL检测位置，在发现列桶的目录进行ACL操作\n  - 优化：操作一致性，所有操作在同一目录进行\n  - 修复：文件删除检测，使用根目录URL生成测试文件URL\n  - 支持：通过X-Amz-Request-Id响应头识别MinIO\n  - 支持：华为云通过x-obs-request-id响应头识别\n  - 新增：京东云支持，通过X-Jss-Request-Id或Server: jfe进行检测\n  - 新增：京东云检测项与AWS保持一致，包括遍历、上传、删除、ACL等\n  - 修复：华为云分段上传检测，支持带xmlns属性的响应标签\n  - 新增：百度云BOS支持，通过Server: BceBos或x-bce-request-id响应头识别\n  - 新增：百度云检测项，包括遍历、上传、删除、ACL、Policy、桶接管、分段上传等\n  - 修复：百度云ACL写入检测逻辑，使用JSON请求体替代header方式\n  - 修复：百度云分段上传检测，使用uploadIdMarker关键字匹配\n  - 修复：百度云PUT object双斜杠问题，使用URL对象构建URL\n  - 修复：百度云ACL可读检测，支持accessControlList字段匹配\n\n- 2025-12-17\n  - 修复：腾讯云COS桶检测逻辑优化\n  - 新增：目录遍历检测支持根目录和二级目录测试\n  - 修复：ACL URL构造时的双斜杠问题\n  - 优化：URL处理逻辑，使用URL对象避免路径拼接错误\n  - 新增：分段上传检测功能，支持所有云厂商\n  - 新增：文件删除权限检测功能，支持所有云厂商\n  - 修复：华为云删除检测逻辑，使用根目录URL生成测试文件URL\n  - 修复：阿里云Policy策略，添加存储桶本身的权限\n  - 修复：阿里云Object ACL检测，在原有对象URL上进行\n  - 修复：AWS检测函数，添加options参数处理\n  - 优化：所有云厂商列桶检测在根目录进行\n  - 放宽：AWS的ACL检测和分段上传检测条件\n  - 新增：阿里云Policy Action改为oss:*，授予所有权限\n\n","Browser-BucketScan 是一款轻量易用的浏览器扩展工具，专为云存储桶安全检测设计。它能够全面检测阿里云 OSS、腾讯云 COS、华为云 OBS、AWS S3、京东云 OSS、百度云 BOS 和火山引擎 TOS 七种主流云存储桶的核心安全漏洞。核心功能包括一键全覆盖检测存储桶高危漏洞（如存储桶可遍历、PUT 文件上传、DELETE 文件删除等），实时日志可视化展示和结构化历史记录生成，支持多格式数据导出（MD、CSV、HTML）。该工具适合需要对云存储桶进行安全自查和漏洞检测的场景，特别适用于网络安全工程师和技术人员。Browser-BucketScan 兼容 Chrome 和 Edge 等主流浏览器，无需额外软件安装，使用便捷。","2026-06-11 04:03:35","CREATED_QUERY"]