0xelitesystem/iam-policy-analyzer

GitHub: 0xelitesystem/iam-policy-analyzer

一个零依赖的浏览器端 AWS IAM 策略静态分析工具,通过内置规则快速检测提权路径、宽泛授权和信任策略等安全风险。

Stars: 0 | Forks: 0

# iam-policy-analyzer 基于浏览器的 AWS IAM 策略分析器。粘贴一份策略文档,即可返回一份发现列表:提权路径、过于宽泛的授权、缺失的条件以及信任策略问题。 **在线演示:** https://0xelitesystem.github.io/iam-policy-analyzer/ 单个 HTML 文件。无需构建步骤,无依赖,无网络调用。打开 `index.html` 或使用托管版本即可。 ## 检查内容 - **提权操作**,`iam:PassRole`、`iam:CreateAccessKey`、`lambda:UpdateFunctionCode`、`ec2:RunInstances`、`cloudformation:CreateStack`,以及其他 30 多种已知在授予 `Resource: *` 时会导致横向移动的操作。 - **通配符**,`Action: "*"`、`Resource: "*"` 以及服务级别的通配符(如 `s3:*`)会被标记,其严重程度根据操作的爆炸半径进行分级。 - **缺失的条件**,敏感操作在未加 `aws:SourceIp`、`aws:MultiFactorAuthPresent`、`aws:SecureTransport` 或 `aws:PrincipalOrgID` 约束的情况下被授予。 - **信任策略**,信任文档中的 `Principal: "*"`、跨账户角色缺失 `aws:SourceAccount` / `aws:SourceArn`,以及混淆代理人(confused-deputy)模式。 - **NotAction / NotResource**,因其允许的权限往往比表面看起来更多而被标记。 ## 严重程度分级 | 标签 | 含义 | |-----|---------| | critical | 可能导致直接的提权路径或完全接管账户 | | high | 未限定范围的敏感权限;常见的攻击者目标 | | medium | 应当收窄的宽泛授权,但不会直接导致提权 | | low | 规范问题(缺失条件、已弃用的模式) | | info | 信息性提示,例如无法识别的操作 | ## 本工具不包含的内容 本工具不能替代 AWS Access Analyzer 或 Cloudsplaining。它不会模拟策略评估、展开托管策略,也不会根据实际的账户状态进行检查。它仅读取您粘贴的 JSON 并应用一套静态规则集。请将其用于在 pull request 中快速审查策略差异(diff),切勿将其作为唯一的真理来源。 ## 隐私 一切均在浏览器中运行。您粘贴的策略永远不会离开当前页面。没有分析追踪,没有存储,页面加载完成后也没有任何网络请求。 ## 示例 通过标题栏中的按钮加载了三个示例策略:一个提权策略、一个过于宽泛的 S3 授权,以及一个宽松的跨账户信任策略。 ## 相关仓库 这是一个 10 仓库安全审计集的一部分。 基于浏览器的审计工具: - [terraform-security-linter](https://github.com/0xelitesystem/terraform-security-linter) - [kubernetes-manifest-security-scanner](https://github.com/0xelitesystem/kubernetes-manifest-security-scanner) - [session-cookie-auditor](https://github.com/0xelitesystem/session-cookie-auditor) - [regex-redos-checker](https://github.com/0xelitesystem/regex-redos-checker) 参考合集: - [incident-response-runbooks](https://github.com/0xelitesystem/incident-response-runbooks) - [ai-llm-security-audit](https://github.com/0xelitesystem/ai-llm-security-audit) - [api-security-audit-checklist](https://github.com/0xelitesystem/api-security-audit-checklist) - [secrets-leak-response-runbook](https://github.com/0xelitesystem/secrets-leak-response-runbook) - [threat-modeling-worksheets](https://github.com/0xelitesystem/threat-modeling-worksheets) ## 许可证 MIT。详见 [LICENSE](LICENSE)。
标签:AWS, DPI, IAM, 前端工具, 后端开发, 多模态安全, 数据可视化, 权限分析, 错误基检测, 静态代码分析