serviceusage

Наступні дозволи корисні для створення та крадіжки API-ключів, не з цього документації: API-ключ - це простий зашифрований рядок, який ідентифікує додаток без будь-якого принципала. Вони корисні для доступу до публічних даних анонімно, і використовуються для асоціації запитів API з вашим проектом для квоти та розрахунків.

Отже, з API-ключем ви можете змусити компанію оплатити ваше використання API, але ви не зможете підняти привілеї.

Щоб дізнатися інші дозволи та способи генерації API-ключів, перевірте:

serviceusage.apiKeys.create

Було знайдено недокументоване API, яке можна використовувати для створення API-ключів:

curl -XPOST "https://apikeys.clients6.google.com/v1/projects/<project-uniq-name>/apiKeys?access_token=$(gcloud auth print-access-token)"

serviceusage.services.enable, serviceusage.services.use

З цими дозволами атакувальник може увімкнути та використовувати нові служби в проекті. Це може дозволити атакувальнику увімкнути службу, таку як admin або cloudidentity, щоб спробувати отримати доступ до інформації Workspace, або інших служб для доступу до цікавих даних.

References

• https://rhinosecuritylabs.com/cloud-security/privilege-escalation-google-cloud-platform-part-2/