GCP - Apikeys Privesc
Apikeys
Ruhusa zifuatazo ni muhimu kwa kujenga na kuiba funguo za API, sio hizi kutoka kwa nyaraka: Funguo ya API ni mfuatano rahisi wa herufi zilizofichwa ambazo zinafafanua programu bila mamlaka yoyote. Ni muhimu kwa kupata data ya umma kwa usiri, na hutumiwa ku unganisha maombi ya API na mradi wako kwa ajili ya kiwango na bili.
Kwa hivyo, ukiwa na funguo ya API unaweza kufanya kampuni ile ilipe matumizi yako ya API, lakini hutaweza kuinua ruhusa.
Kwa habari zaidi kuhusu Funguo za API angalia:
pageGCP - API Keys EnumKwa njia nyingine za kujenga funguo za API angalia:
pageGCP - Serviceusage PrivescKufikia Funguo ya API kwa Nguvu
Kwa kuwa huenda usijue ni APIs zipi zilizowezeshwa kwenye mradi au vikwazo vilivyowekwa kwenye funguo ya API uliopata, ingekuwa muhimu kukimbia zana https://github.com/ozguralp/gmapsapiscanner na angalia unaweza kupata nini kwa funguo ya API.
apikeys.keys.create
apikeys.keys.create
Ruhusa hii inaruhusu kujenga funguo la API:
Unaweza kupata skripti ya kiotomatiki ya kuunda, kutumia vibaya na kusafisha mazingira dhaifu hapa.
Tafadhali kumbuka kwamba kwa chaguo-msingi watumiaji wana ruhusa ya kuunda miradi mipya na wanapewa jukumu la Mmiliki kwenye mradi mpya. Kwa hivyo, mtumiaji anaweza kuunda mradi na ufunguo wa API ndani ya mradi huu.
apikeys.keys.getKeyString
, apikeys.keys.list
apikeys.keys.getKeyString
, apikeys.keys.list
Ruhusa hizi huruhusu kutaja na kupata apiKeys zote na kupata Ufunguo:
Unaweza kupata skripti ya kiotomatiki ya kuunda, kutumia na kusafisha mazingira dhaifu hapa.
apikeys.keys.undelete
, apikeys.keys.list
apikeys.keys.undelete
, apikeys.keys.list
Ruhusa hizi kuruhusu wewe kuorodhesha na kuzalisha upya funguo za api zilizofutwa. Funguo ya API inatolewa kwenye matokeo baada ya undelete kufanywa:
Unda Maombi ya Ndani ya OAuth kwa ajili ya kudanganya wafanyakazi wengine
Angalia ukurasa ufuatao kujifunza jinsi ya kufanya hivi, ingawa hatua hii inahusiana na huduma clientauthconfig
kulingana na nyaraka:
Last updated