GCP - API Keys Enum

Support HackTricks

Basic Information

Google Cloud Platform (GCP) में, API keys एक साधारण एन्क्रिप्टेड स्ट्रिंग हैं जो बिना किसी प्रिंसिपल के एक एप्लिकेशन की पहचान करती हैं। इन्हें Google Cloud APIs तक पहुँचने के लिए उपयोग किया जाता है जो उपयोगकर्ता संदर्भ की आवश्यकता नहीं होती। इसका मतलब है कि इन्हें अक्सर उन परिदृश्यों में उपयोग किया जाता है जहाँ एप्लिकेशन अपने स्वयं के डेटा तक पहुँच रहा है न कि उपयोगकर्ता डेटा तक।

Restrictions

आप API keys पर प्रतिबंध लागू कर सकते हैं ताकि सुरक्षा बढ़ सके। उदाहरण के लिए, आप कुंजी को केवल कुछ IP पते, वेब, एंड्रॉइड ऐप, iOS ऐप द्वारा उपयोग करने के लिए प्रतिबंधित कर सकते हैं, या इसे GCP के भीतर कुछ APIs या सेवाओं तक सीमित कर सकते हैं।

Enumeration

यह संभव है कि आप API key के प्रतिबंध को देख सकें (जिसमें GCP API endpoints का प्रतिबंध शामिल है) क्रियाओं की सूची या विवरण का उपयोग करके:

gcloud services api-keys list
gcloud services api-keys describe <key-uuid>
gcloud services api-keys list --show-deleted

यह संभव है कि 30 दिनों से पहले हटाए गए कुंजियों को पुनर्प्राप्त किया जा सके, यही कारण है कि आप हटाई गई कुंजियों की सूची बना सकते हैं।

विशेषाधिकार वृद्धि और पोस्ट शोषण

GCP - Apikeys Privesc

अनधिकृत Enum

GCP - API Keys Unauthenticated Enum

स्थिरता

GCP - API Keys Persistence
HackTricks का समर्थन करें

Last updated