GCP - API Keys Unauthenticated Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Para más información sobre las API Keys, consulta:
Las API Keys de Google son ampliamente utilizadas por cualquier tipo de aplicaciones que se utilizan desde el lado del cliente. Es común encontrarlas en el código fuente de sitios web o solicitudes de red, en aplicaciones móviles o simplemente buscando expresiones regulares en plataformas como Github.
La expresión regular es: AIza[0-9A-Za-z_-]{35}
Búscalo, por ejemplo, en Github siguiendo: https://github.com/search?q=%2FAIza%5B0-9A-Za-z_-%5D%7B35%7D%2F&type=code&ref=advsearch
apikeys.keys.lookup
Esto es extremadamente útil para verificar a qué proyecto GCP pertenece una API key que has encontrado:
Como puede que no sepas qué APIs están habilitadas en el proyecto, sería interesante ejecutar la herramienta https://github.com/ozguralp/gmapsapiscanner y verificar a qué puedes acceder con la clave de API.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)