GCP - API Keys Unauthenticated Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Para más información sobre las API Keys, consulta:
Las API Keys de Google son ampliamente utilizadas por cualquier tipo de aplicaciones que se ejecutan del lado del cliente. Es común encontrarlas en el código fuente de sitios web o en solicitudes de red, en aplicaciones móviles o simplemente buscando expresiones regulares en plataformas como Github.
La expresión regular es: AIza[0-9A-Za-z_-]{35}
Búscalo, por ejemplo, en Github siguiendo: https://github.com/search?q=%2FAIza%5B0-9A-Za-z_-%5D%7B35%7D%2F&type=code&ref=advsearch
apikeys.keys.lookup
Esto es extremadamente útil para verificar a qué proyecto GCP pertenece una API key que has encontrado:
Como puede que no sepas qué APIs están habilitadas en el proyecto, sería interesante ejecutar la herramienta https://github.com/ozguralp/gmapsapiscanner y verificar a qué puedes acceder con la clave de API.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)