GCP - API Keys Unauthenticated Enum
API-Schlüssel
Für weitere Informationen zu API-Schlüsseln siehe:
pageGCP - API Keys EnumOSINT-Techniken
Google API-Schlüssel werden von allen Arten von Anwendungen verwendet, die von der Clientseite aus zugreifen. Es ist üblich, sie im Quellcode von Websites oder Netzwerkanfragen, in mobilen Anwendungen oder einfach durch die Suche nach Regexen in Plattformen wie Github zu finden.
Der Regex lautet: AIza[0-9A-Za-z_-]{35}
Suchen Sie beispielsweise in Github unter: https://github.com/search?q=%2FAIza%5B0-9A-Za-z_-%5D%7B35%7D%2F&type=code&ref=advsearch
Überprüfen Sie den Ursprung des GCP-Projekts - apikeys.keys.lookup
apikeys.keys.lookup
Dies ist äußerst nützlich, um zu überprüfen, zu welchem GCP-Projekt ein von Ihnen gefundenen API-Schlüssel gehört:
Brute Force API-Endpunkte
Da Sie möglicherweise nicht wissen, welche APIs im Projekt aktiviert sind, wäre es interessant, das Tool https://github.com/ozguralp/gmapsapiscanner auszuführen und zu überprüfen, auf welche Ressourcen Sie mit dem API-Schlüssel zugreifen können.
Last updated