GCP - API Keys Unauthenticated Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Pour plus d'informations sur les clés API, consultez :
Les clés API Google sont largement utilisées par tout type d'applications qui utilisent côté client. Il est courant de les trouver dans le code source des sites web ou des requêtes réseau, dans des applications mobiles ou simplement en recherchant des regex sur des plateformes comme Github.
La regex est : AIza[0-9A-Za-z_-]{35}
Recherchez-la par exemple sur Github en suivant : https://github.com/search?q=%2FAIza%5B0-9A-Za-z_-%5D%7B35%7D%2F&type=code&ref=advsearch
apikeys.keys.lookup
Ceci est extrêmement utile pour vérifier à quel projet GCP appartient une clé API que vous avez trouvée :
Comme vous ne savez peut-être pas quelles APIs sont activées dans le projet, il serait intéressant d'exécuter l'outil https://github.com/ozguralp/gmapsapiscanner et de vérifier ce à quoi vous pouvez accéder avec la clé API.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)