地图API配置错误漏洞导致的key或者ak泄露

最新推荐文章于 2025-02-15 11:25:39 发布
最新推荐文章于 2025-02-15 11:25:39 发布
阅读量4.9k 收藏 32
点赞数 25
文章标签: 网络安全 信息安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83799022/article/details/142357733
版权

0x1 前言

哈喽,师傅们!

这篇文章主要是带师傅们掌握下地图API配置错误漏洞导致的key或者ak泄露,然后进行使用我们总结的payload进行打一个漏洞利用。下面也会给师傅们举例我挖到的部分地图API漏洞,其中企业src部分企业会收这个漏洞,部分不收,我之前在众测挖的这个漏洞,收的多点。

0x2 地图API简介

一、Web服务API简介

高德/百度/腾讯Web服务API向开发者提供HTTP接口,开发者可通过这些接口使用各类型的地理数据服务,返回结果支持JSON和XML格式。

Web服务API对所有用户开放。使用本组服务之前,需要申请应用Key。不同类型用户可获取不同的数据访问能力。

下面这篇文章就是高德地图的key创建的官方文档:https://lbs.amap.com/api/webservice/create-project-and-key

在我们使用一些导航地图的时候,在创建web服务的API时候,就可能会把我们的key值或ak值(百度地图的密钥叫ak)给泄露出来,像这个可以直接在改站点的网页源代码检索泄露出来的key或者ak值

二、泄露的 API Key 可能带来的问题

  1. 滥用和超额使用
  • 如果 API Key 泄露,其他人可能会滥用你的 API Key,导致你的账户超额使用配额,从而产生额外费用或服务中断。
  • 费用增加
  • 高德地图 API 通常有免费配额,但一旦超出免费额度,额外的请求可能会产生费用。泄露的 API Key 可能会导致不必要的费用增加。
  • 数据安全和隐私问题
  • 通过泄露的 API Key,恶意用户可能会访问你的应用程序的数据或进行不当操作,这可能会影响你的数据安全和隐私。
  • 服务中断
  • 如果发现 API Key 被泄露并被滥用,服务提供商可能会对相关密钥进行封禁或其他措施,可能导致你的应用服务中断。

三、如何应对 API Key 泄露

  1. 立即更换密钥
  • 尽快在高德地图开发者控制台中生成新的 API Key,并替换掉泄露的旧密钥。
  • 限制 API Key 的使用范围
  • 在高德地图的 API 控制台中,你可以为 API Key 设置访问限制,例如限制 IP 地址、设置配额等,以减少被滥用的风险。
  • 监控使用情况
  • 定期检查 API 使用情况,了解是否有异常的请求模式或超额使用情况。
  • 安全存储密钥
  • 避免将 API Key 硬编码在代码中,使用安全的方式存储密钥,例如环境变量或配置文件。
  • 设置警报和监控
  • 配置警报和监控,及时发现和响应 API Key 的异常使用。

可以参考高德地图的官方文档:

最低0.47元/天 解锁文章
漏洞挖掘】——64、云主机AK/SK泄露利用
Fly_鹏程万里
06-11 755
云主机通过使用Access Key Id/Secret Access Key加密的方法来验证某个请求的发送者身份,其中Access Key ID(AK)用于标示用户,Secret Access Key(SK)是用户用于加密认证字符串和云厂商用来验证认证字符串的密钥,其中SK必须保密,原理为对称加解密,云主机接收到用户的请求后系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串并与用户请求中包含的认证字符串进行比对,如果认证字符串相同,系统认为用户拥有指定的操作权限并执行相关操作,如果不同则系统将忽略
漏洞篇】网络安全面试
大河之犬的博客
04-08 5704
例如我们往系统里面插入一条数据,如果此次操作的数据包被攻击者获取,又恰巧后台没有对重复内容进行验证,那么攻击者就可以利用该数据包重复的发起请求,无限制的往数据库插入数据,即使请求包是加密的也不影响,从而造成资源浪费。$$导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现,使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值。变量覆盖即通过外部输入将某个变量的值给覆盖掉,可以让我们修改某些关键变量的值,可能造成越权访问、写入webshell等危害。
防止百度地图Key泄露和不被恶意使用
weixin_45816407的博客
12-19 6672
【代码】防止百度地图Key泄露和不被恶意使用。
甲方AK/SK泄漏的修复和治理
weixin_45945976的博客
10-31 477
通过上述措施,甲方可以有效地治理AK/SK泄漏问题,保护云资源的安全。
在 Vue 3 中使用百度地图的详解,涵盖常见场景、问题及最佳解决方案
最新发布
繁若华尘的博客
02-15 1350
Vue 3 集成百度地图的核心在于正确处理异步加载、全局变量声明及响应式数据同步。推荐使用官方封装库。
小程序泄露腾讯地图apikey
hackzkaq的博客
11-22 2377
今天挖小程序时测了很久,一直没有头绪,后来想要测试一下支付漏洞,但是这里却出问题了 添加地址时我发现,当我添加一个地址时,他会显示腾讯地图的logo和一部分小图,那时候我就在想,既然这里可以调用腾讯地图,那是否会包含一个api key呢?所以我打开bp开始抓包,点击确认时抓包 包要一个一个放,主打的就是仔细,然后讲一个小技巧,如果在数据包里你知道某个参数很重要,如key,sessionid,admin之类,可以在bp下方的那个框里填入,然后他会高亮显示,还是很有用的就可以提交了,虽然只是个低危,但是也值个几
信息泄露apikey泄露
kjssy的博客
08-19 2310
参考链接:https://www.freebuf.com/articles/web/360331.html。
渗透测试实战—云渗透(AK/SK泄露
网安日记本的博客
08-02 2912
渗透测试实战思路分享:getshell方法及横向移动方法,云安全(AK/SK泄露
实战| apikey泄露
zkaqlaoniao的博客
11-23 2396
包要一个一个放,主打的就是仔细,然后讲一个小技巧,如果在数据包里你知道某个参数很重要,如key,sessionid,admin之类,可以在bp下方的那个框里填入,然后他会高亮显示,还是很有用的。添加地址时我发现,当我添加一个地址时,他会显示腾讯地图的logo和一部分小图,那时候我就在想,既然这里可以调用腾讯地图,那是否会包含一个api key呢?就可以提交了,思路就是这样,遇到这种敏感的logo就想想api会不会被调用,然后下方输入个key,慢慢放包就行了。所以我打开bp开始抓包,点击确认时抓包。
百度地图API 密钥
热门推荐
陈万洲的专栏
06-07 1万+
百度地图API 密钥:DD279b2a90afdf0ae7a3796787a0742e
Google地图开发密钥Api key
sunjunlaing52的专栏
06-03 823
首先,打开eclipse 选择Windows——>Perferences选项,打开Perferences窗口,在左侧窗口菜单选择“Android——>Bulid”选项。窗口右侧换面中“Default debug keystore”字段所填的路径就是“debug.keystrore”所在位置。     之后运行cmd,输入命令行keytool -list -alias androiddebugk
百度地图KEY的不合理之处
chens616的专栏
08-22 1129
最近我们的产品要使用的地图定位,综合考虑决定使用百度地图。但是随之感觉不舒服的地方就暴漏了。 每一个android 程序要想使用百度地图都必须要有一个KEY。这个KEY生成的时候要使用SHA1值和包名。而SHA1值实质上是程序签名的唯一标识。 实际使用的过程中,总共一下两种情况: 1、连接eclipse调试。这个时候默认使用的是debug.keystore签名,并不是没有签名,因此我们在CM
百度地图key值问题小记
狂奔的蜗牛
02-19 1645
背景:       前段时间没事玩了玩百度地图,玩的时候有个小问题,直接把把应用运行在手机上,按照百度地图开发者文档中获取密钥可以正常显示地图,但是在打包之后放在自己的手机上就只能显示网格了                         当时没在意这个问题,以为只是网络的原因,就没深究,然后前两天,公司项目需要接入地图的功能,这个问题又一次出现了,在我这里直接运行可以正常显示,但是打
云上攻防&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
qq_46081990的博客
04-19 2085
对象存储是一种用于存储和管理大量非结构化数据的技术,也被称为云存储。它将数据以对象的形式进行存储,并为每个对象分配唯一的标识符。与传统的文件系统不同,对象存储不采用多层级的文件结构,而是采用一个称为"桶(Bucket)"的存储空间,其中包含大量扁平化的对象。对象存储的最大特点是对象名称即为一个域名地址,一旦对象被设置为公开访问,任何人都可以通过访问该地址获取对象。同时,对象存储提供了REST API的方式,使得对象的拥有者可以方便地访问和管理其中的对象。
语音识别新境界:利用OpenAI Assistant API实现高效处理
[语音识别新境界:利用OpenAI Assistant API实现高效处理](https://cdn-ak.f.st-hatena.com/images/fotolife/u/ueponx/20171129/20171129001628.jpg) # 摘要 本文全面介绍OpenAI Assistant API的基础知识、工作原理...
如何申请百度地图 JavaScript API 密钥(AK
qq_22841387的博客
12-15 4748
通过这篇教程,我们详细介绍了从打开百度地图官网,到申请密钥、设置白名单,再到最终获取 API 密钥的整个流程。这一密钥将在你开发百度地图相关功能时发挥重要作用,确保 API 请求的合法性。在测试环境可以开放白名单为,方便调试。在生产环境中,最好填写具体的域名,以保护密钥的安全性。如果你的密钥泄露,及时删除或更新。
[常见问题] - 解决地图KEY无效的问题
gis9的专栏
08-12 1万+
上图为【地图KEY无效】的现象,会导致功能不可用,原因是内置地图KEY失效了。 下文主要介绍如何申请自用的地图KEY地图KEY为免费申请和使用。 分为三步: 1、登陆【高德地图开放平台】,注册用户 【高德开放平台网站】:https://lbs.amap.com,进行用户注册,注册过程要求实名认证,请按要求进行。 2、申请【高德地图KEY】 注册用户后,可以进入控制台进行地图KEY的申请。申请详细过程可以自行百度搜索【申请 高德地图KEY】关键字,网上教程很多,下面贴出一些链接供...
关于百度地图apikey问题
u014647599的专栏
03-19 2522
最近在赶的一个项目,总是报key出错,地图api的引用,完全是按照官方文档来的呀,怎么会出错呢 ....... 很多次尝试后,我发现eclipse每新建一个key,就会在控制台动态打印出一个安全码,这个不是eclipse的某个地方显示的那个(百度官方文档是这么说的,或许是我理解错误)。总之那个是debug用的安全码,只能调试使用,真正商用需要新建key时,动态打印出来的安全码,
解决百度地图混淆打包后不能使用 远程连接服务泄露
l307295618的博客
10-11 1306
错误:Activity com.hyphenate.easeui.ui.EaseBaiduMapActivity has leaked ServiceConnection com.baidu.location.b@344aeba8 that was originally bound here android.app.ServiceConnectionLeaked 解决:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值