GCP - API Keys Unauthenticated Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Para mais informações sobre API Keys, consulte:
As Google API Keys são amplamente utilizadas por qualquer tipo de aplicações que usam do lado do cliente. É comum encontrá-las no código-fonte de websites ou em requisições de rede, em aplicativos móveis ou apenas procurando por regexes em plataformas como o Github.
A regex é: AIza[0-9A-Za-z_-]{35}
Pesquise, por exemplo, no Github seguindo: https://github.com/search?q=%2FAIza%5B0-9A-Za-z_-%5D%7B35%7D%2F&type=code&ref=advsearch
apikeys.keys.lookup
Isso é extremamente útil para verificar a qual projeto GCP uma API key que você encontrou pertence:
Como você pode não saber quais APIs estão habilitadas no projeto, seria interessante executar a ferramenta https://github.com/ozguralp/gmapsapiscanner e verificar o que você pode acessar com a chave da API.
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)