文章总结： BucketTool是一款浏览器扩展插件，用于一键检测阿里云OSS、腾讯云COS、华为云OBS与AWSS3等主流云存储桶的遍历、未授权上传、ACL/Policy配置错误及桶接管等常见漏洞，提供实时日志、结构化历史与红点提醒，支持黑名单持久化通配过滤，开箱即用无需Burp兼容性维护，可为多云存储安全测试提供快速发现手段。 综合评分： 72 文章分类： 云安全,安全工具,WEB安全,渗透测试,漏洞分析

【工具推荐】多云存储桶配置漏洞浏览器检测插件

libaibaia

Z2O安全攻防

2026年1月5日 21:18 北京

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！所有工具安全性自测！！！

0x01 工具介绍

BucketTool 是一款浏览器扩展，用于检测主流云存储桶（如阿里云OSS、腾讯云COS、华为云OBS、AWS S3）常见的安全漏洞，包括遍历、未授权上传、ACL/Policy配置、桶接管等，由于之前BurpSuite插件更新需要考虑版本兼容性，因此改造为浏览器插件方便使用。

0x02 功能简介

✨ 功能一览

一键检测存储桶常见漏洞

支持阿里云、腾讯云、华为云、AWS S3

检测结果实时日志展示，结构化历史记录

检测结果红点提醒，点击弹窗可查看历史

仅主动检测时输出详细日志，被动检测仅写入历史

主要界面说明

日志窗口：显示主动检测的过程和结果。

历史记录：记录所有检测到的漏洞。

红点提醒：有新漏洞时扩展图标显示红点，查看历史后自动清除。

0x03更新说明

新增：检测黑名单（持久化）。在 chrome.storage.local.detectBlacklist 维护黑名单列表，支持域名与 URL（自动提取 host），以及通配符后缀 *.example.com。使用方式，点击进入扩展选项，在黑名单输入框中输入HOST或 URL

0x04 使用介绍

📦开箱即用

1. 打开浏览器，输入地址 chrome://extensions/ 进入扩展管理页面；
2. 开启页面右上角「开发者模式」（开关按钮滑动至开启状态）；
3. 点击「加载已解压的扩展程序」，选择解压后的 BucketTool 项目根目录，完成安装（安装成功后浏览器右上角会显示插件图标）；

从搜索结果中一键提取所有 URL，支持单个或批量复制。

工具获取

点击关注下方名片进入公众号

回复关键字【251229】获取下载链接

下面是一则内部学习圈广告😜

别着急退，看完的师傅们有福了/doge

欢迎师傅们加入内部网络安全学习圈子。圈子提供三大板块的内容：

1

网络安全0→1学习路径

1. 完整的「30+周安全学习任务路线图」公开，每周任务明确，清晰的学习重点和目标，从入门到进阶，由浅入深，循序渐进；
2. 学习内容涵盖：

• 常见的Web漏洞原理与利用

• 业务逻辑漏洞挖掘

• SRC实战技巧

• WAF绕过、代码审计、免杀钓鱼

• 内网渗透

  （Linux&Windows）提权与权限维持

• 隧道代理、域渗透、云安全、AI安全

1. 每周发布学习任务+参考资料+建议，学员可自主学习+实战练习；

2

SRC漏洞专项挖掘

1. SRC漏洞知识库持续更新；
2. SRC挖掘技巧、分析方法、视频教程打包；
3. 分享优质挖矿案例，降低上手门槛，教你赚赏金。

3

常态化内容更新

日常分享优质学习资源与攻防渗透技巧，包括但不限于：

1. 红队/蓝队安全攻防、免杀、钓鱼技巧、攻防渗透tips；
2. 学习路线推荐，教程、方法、技巧tips打包分享，实战视频、工具、手册一应俱全；
3. 根据网络安全初中级学习者水平，精选最有用的内容，不让你在信息洪流中迷路。

此前的一下学习记录：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Z2O安全攻防 libaibaia《【工具推荐】多云存储桶配置漏洞浏览器检测插件》