GCP - API Keys Unauthenticated Enum
API Keys
Pour plus d'informations sur les clés API, consultez :
GCP - API Keys EnumTechniques OSINT
Les clés API Google sont largement utilisées par tout type d'applications qui s'exécutent côté client. Il est courant de les trouver dans le code source des sites web ou dans les requêtes réseau, dans les applications mobiles ou simplement en recherchant des regex sur des plateformes comme Github.
La regex est : AIza[0-9A-Za-z_-]{35}
Recherchez-la par exemple sur Github en suivant : https://github.com/search?q=%2FAIza%5B0-9A-Za-z_-%5D%7B35%7D%2F&type=code&ref=advsearch
Vérifier le projet GCP d'origine - apikeys.keys.lookup
apikeys.keys.lookup
Ceci est extrêmement utile pour vérifier à quel projet GCP appartient une clé API que vous avez trouvée :
Brute Force API endspoints
Comme vous ne savez peut-être pas quelles APIs sont activées dans le projet, il serait intéressant d'exécuter l'outil https://github.com/ozguralp/gmapsapiscanner et de vérifier ce à quoi vous pouvez accéder avec la clé API.
Last updated