serviceusage

Die volgende toestemmings is nuttig om API-sleutels te skep en te steel, nie dit van die dokumente nie: 'n API-sleutel is 'n eenvoudige versleutelde string wat 'n aansoek identifiseer sonder enige hoof. Dit is nuttig vir die toegang tot openbare data anoniem, en word gebruik om API-versoeke met jou projek te assosieer vir kwota en fakturering.

Daarom kan jy met 'n API-sleutel maak dat die maatskappy betaal vir jou gebruik van die API, maar jy sal nie in staat wees om voorregte te verhoog nie.

Om ander toestemmings en maniere om API-sleutels te genereer te leer, kyk na:

serviceusage.apiKeys.create

'n Ongedokumenteerde API is gevind wat gebruik kan word om API-sleutels te skep:

curl -XPOST "https://apikeys.clients6.google.com/v1/projects/<project-uniq-name>/apiKeys?access_token=$(gcloud auth print-access-token)"

serviceusage.apiKeys.list

'n Ander ongedokumenteerde API is gevind vir die lys van API-sleutels wat reeds geskep is (die API-sleutels verskyn in die respons):

curl "https://apikeys.clients6.google.com/v1/projects/<project-uniq-name>/apiKeys?access_token=$(gcloud auth print-access-token)"

serviceusage.services.enable , serviceusage.services.use

Met hierdie regte kan 'n aanvaller nuwe dienste in die projek aktiveer en gebruik. Dit kan 'n aanvaller in staat stel om dienste soos admin of cloudidentity te aktiveer om toegang tot Workspace-inligting te probeer verkry, of ander dienste om interessante data te ontsluit.

Verwysings

• https://rhinosecuritylabs.com/cloud-security/privilege-escalation-google-cloud-platform-part-2/