GCP - API Keys Unauthenticated Enum
API Keys
Para más información sobre las API Keys, consulta:
GCP - API Keys EnumTécnicas OSINT
Las API Keys de Google son ampliamente utilizadas por cualquier tipo de aplicaciones que se ejecutan del lado del cliente. Es común encontrarlas en el código fuente de sitios web o solicitudes de red, en aplicaciones móviles o simplemente buscando expresiones regulares en plataformas como Github.
La expresión regular es: AIza[0-9A-Za-z_-]{35}
Búscalo, por ejemplo, en Github siguiendo: https://github.com/search?q=%2FAIza%5B0-9A-Za-z_-%5D%7B35%7D%2F&type=code&ref=advsearch
Verificar el proyecto GCP de origen - apikeys.keys.lookup
apikeys.keys.lookup
Esto es extremadamente útil para verificar a qué proyecto GCP pertenece una API key que has encontrado:
Fuerza Bruta en endpoints de API
Como puede que no sepas qué APIs están habilitadas en el proyecto, sería interesante ejecutar la herramienta https://github.com/ozguralp/gmapsapiscanner y verificar a qué puedes acceder con la clave de API.
Last updated