serviceusage

Die folgenden Berechtigungen sind nützlich, um API-Schlüssel zu erstellen und zu stehlen, nicht wie in den Dokumenten beschrieben: Ein API-Schlüssel ist ein einfacher verschlüsselter String, der eine Anwendung ohne jeglichen Hauptdarsteller identifiziert. Sie sind nützlich, um öffentliche Daten anonym abzurufen, und werden verwendet, um **API-Anfragen mit Ihrem Projekt für Kontingente und Abrechnung zu verknüpfen.

Daher können Sie mit einem API-Schlüssel bewirken, dass das Unternehmen für Ihre Nutzung der API bezahlt, aber Sie können keine Berechtigungen eskalieren.

Um andere Berechtigungen und Möglichkeiten zur Generierung von API-Schlüsseln zu erfahren, überprüfen Sie:

serviceusage.apiKeys.create

Es wurde eine nicht dokumentierte API gefunden, die verwendet werden kann, um API-Schlüssel zu erstellen:

curl -XPOST "https://apikeys.clients6.google.com/v1/projects/<project-uniq-name>/apiKeys?access_token=$(gcloud auth print-access-token)"

serviceusage.services.enable , serviceusage.services.use

Mit diesen Berechtigungen kann ein Angreifer neue Dienste im Projekt aktivieren und nutzen. Dies könnte einem Angreifer ermöglichen, Dienste wie Admin oder Cloud Identity zu aktivieren, um auf Workspace-Informationen zuzugreifen, oder andere Dienste, um auf interessante Daten zuzugreifen.

Referenzen

• https://rhinosecuritylabs.com/cloud-security/privilege-escalation-google-cloud-platform-part-2/