GCP - API Keys Unauthenticated Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Für weitere Informationen zu API-Schlüsseln siehe:
Google API-Schlüssel werden von allen Arten von Anwendungen verwendet, die von der Client-Seite aus zugreifen. Es ist üblich, sie im Quellcode von Websites oder in Netzwerk-Anfragen, in mobilen Anwendungen oder einfach durch die Suche nach Regex in Plattformen wie Github zu finden.
Der Regex ist: AIza[0-9A-Za-z_-]{35}
Suche ihn zum Beispiel in Github unter: https://github.com/search?q=%2FAIza%5B0-9A-Za-z_-%5D%7B35%7D%2F&type=code&ref=advsearch
apikeys.keys.lookup
Dies ist äußerst nützlich, um zu überprüfen, zu welchem GCP-Projekt ein gefundener API-Schlüssel gehört:
Da Sie möglicherweise nicht wissen, welche APIs im Projekt aktiviert sind, wäre es interessant, das Tool https://github.com/ozguralp/gmapsapiscanner auszuführen und zu überprüfen, auf was Sie mit dem API-Schlüssel zugreifen können.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)