GCP - API Keys Unauthenticated Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Per ulteriori informazioni sulle API Keys controlla:
GCP - API Keys EnumLe Google API Keys sono ampiamente utilizzate da qualsiasi tipo di applicazioni che utilizzano dal lato client. È comune trovarle nel codice sorgente di siti web o nelle richieste di rete, in applicazioni mobili o semplicemente cercando regex su piattaforme come Github.
La regex è: AIza[0-9A-Za-z_-]{35}
Cercala ad esempio su Github seguendo: https://github.com/search?q=%2FAIza%5B0-9A-Za-z_-%5D%7B35%7D%2F&type=code&ref=advsearch
apikeys.keys.lookup
Questo è estremamente utile per controllare a quale progetto GCP appartiene una API key che hai trovato:
Poiché potresti non sapere quali API sono abilitate nel progetto, sarebbe interessante eseguire lo strumento https://github.com/ozguralp/gmapsapiscanner e controllare cosa puoi accedere con la chiave API.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)