GCP - API Keys Unauthenticated Enum
Clés API
Pour plus d'informations sur les clés API, consultez :
pageGCP - API Keys EnumTechniques OSINT
Les clés API Google sont largement utilisées par tout type d'applications qui les utilisent côté client. Il est courant de les trouver dans le code source ou les requêtes réseau de sites web, dans des applications mobiles ou simplement en cherchant des regex sur des plateformes comme Github.
La regex est : AIza[0-9A-Za-z_-]{35}
Cherchez-la par exemple sur Github en suivant : https://github.com/search?q=%2FAIza%5B0-9A-Za-z_-%5D%7B35%7D%2F&type=code&ref=advsearch
Vérifier le projet GCP d'origine - apikeys.keys.lookup
apikeys.keys.lookup
C'est extrêmement utile pour vérifier à quel projet GCP appartient une clé API que vous avez trouvée :
Forçage Brut des points de terminaison API
Comme vous pourriez ne pas savoir quelles API sont activées dans le projet, il serait intéressant d'exécuter l'outil https://github.com/ozguralp/gmapsapiscanner et de vérifier ce à quoi vous pouvez accéder avec la clé API.
Dernière mise à jour