serviceusage

निम्नलिखित अनुमतियां API कुंजियों को बनाने और चुराने के लिए उपयोगी हैं, डॉक्स से यह नोट करें: एक API कुंजी एक सरल एन्क्रिप्टेड स्ट्रिंग है जो किसी एप्लिकेशन को किसी भी प्रिंसिपल के बिना पहचानती है. वे सार्वजनिक डेटा को गुमनाम रूप से एक्सेस करने के लिए उपयोगी हैं, और API अनुरोधों को आपके प्रोजेक्ट के साथ कोटा और बिलिंग के लिए जोड़ने के लिए प्रयोग किए जाते हैं.

इसलिए, एक API कुंजी के साथ आप उस कंपनी को आपके API के उपयोग के लिए भुगतान करवा सकते हैं, लेकिन आप अधिकारों को बढ़ा नहीं पाएंगे।

अन्य अनुमतियों और API कुंजियों को जनरेट करने के तरीकों को जानने के लिए देखें:

serviceusage.apiKeys.create

एक अनडॉक्यूमेंटेड API पाई गई जिसका उपयोग API कुंजियों को बनाने के लिए किया जा सकता है:

curl -XPOST "https://apikeys.clients6.google.com/v1/projects/<project-uniq-name>/apiKeys?access_token=$(gcloud auth print-access-token)"

serviceusage.apiKeys.list

एक और अनदस्तावेज़ API पाया गया जो पहले से बनाए गए API कुंजियों की सूची बनाने के लिए है (API कुंजियाँ प्रतिक्रिया में दिखाई देती हैं):

curl "https://apikeys.clients6.google.com/v1/projects/<project-uniq-name>/apiKeys?access_token=$(gcloud auth print-access-token)"

serviceusage.services.enable, serviceusage.services.use

इन अनुमतियों के साथ एक हमलावर प्रोजेक्ट में नई सेवाओं को सक्षम और उपयोग कर सकता है। इससे हमलावर को admin या cloudidentity जैसी सेवा को सक्षम करने की अनुमति मिल सकती है ताकि Workspace की जानकारी तक पहुँचने का प्रयास किया जा सके, या अन्य सेवाओं का उपयोग करके दिलचस्प डेटा तक पहुँचा जा सके।

संदर्भ

• https://rhinosecuritylabs.com/cloud-security/privilege-escalation-google-cloud-platform-part-2/