GCP - API Keys Unauthenticated Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Для отримання додаткової інформації про API Keys перевірте:
Google API Keys широко використовуються будь-якими додатками, які використовуються з боку клієнта. Зазвичай їх можна знайти в вихідному коді веб-сайтів або мережевих запитах, у мобільних додатках або просто шукаючи регулярні вирази на платформах, таких як Github.
Регулярний вираз: AIza[0-9A-Za-z_-]{35}
Шукайте його, наприклад, на Github за посиланням: https://github.com/search?q=%2FAIza%5B0-9A-Za-z_-%5D%7B35%7D%2F&type=code&ref=advsearch
apikeys.keys.lookup
Це надзвичайно корисно для перевірки, до якого GCP проекту належить API ключ, який ви знайшли:
Оскільки ви, можливо, не знаєте, які API увімкнені в проекті, було б цікаво запустити інструмент https://github.com/ozguralp/gmapsapiscanner і перевірити до чого ви можете отримати доступ за допомогою API ключа.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)