信息泄露之api的key泄露

最新推荐文章于 2024-09-01 11:55:12 发布
最新推荐文章于 2024-09-01 11:55:12 发布
阅读量627 收藏 17
点赞数 9
分类专栏: 基础漏洞 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kjssy/article/details/141324320
版权

参考链接:https://www.freebuf.com/articles/web/360331.html

# 1.漏洞验证

高德webapi:
https://restapi.amap.com/v3/direction/walking?origin=116.434307,39.90909&destination=116.434446,39.90816&key=这里写key

高德jsapi:
https://restapi.amap.com/v3/geocode/regeo?key=这里写key&s=rsv3&location=116.434446,39.90816&callback=jsonp_258885_&platform=JS

高德小程序定位:
https://restapi.amap.com/v3/geocode/regeo?key=这里写key&location=117.19674%2C39.14784&extensions=all&s=rsx&platform=WXJS&appname=c589cf63f592ac13bcab35f8cd18f495&sdkversion=1.2.0&logversion=2.0

百度webapi:
https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行&region=北京&output=json&ak=这里写key

百度webapiIOS版:
https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行&region=北京&output=json&ak=这里写key=iPhone7%2C2&mcode=com.didapinche.taxi&os=12.5.6

腾讯webapi:
https://apis.map.qq.com/ws/place/v1/search?keyword=酒店&boundary=nearby(39.908491,116.374328,1000)&key=这里写key

2.实战

image
像上面这样说明key有用,报错说明漏洞修了

3.挖掘方法

奇安信hunter:(web.body=“webapi.amap.com”||web.body=“api.map.baidu.com”||web.body=“apis.map.qq.com”||web.body=“map.qq.com/api/js?v=”)&&domain.suffix=“根域名替换”

fofa:(body=“webapi.amap.com”||body=“api.map.baidu.com”||body=“apis.map.qq.com”||body=“map.qq.com/api/js?v=”)&&domain=“根域名替换”

钟馗之眼:(Banner:“webapi.amap.com” Banner:“api.map.baidu.com” Banner:“map.qq.com/api”)+site:“根域名替换”

360QUAKE:domain:“根域名替换” AND (response: “webapi.amap.com” OR response: “api.map.baidu.com” OR response: “map.qq.com”)

4.忠告

该文章仅用于安全技术分享,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责。文章作者不为此承担任何责任

aliex23
关注
  • 9
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android高德地图踩坑记录-内存泄漏问题
yipiziyoudelang的博客
06-18 1012
Android高德地图踩坑记录-内存泄漏问题
只想着一直调用一直爽, 那API凭证泄漏风险如何破?
阿里云技术
04-12 951
如今各家云厂商都通过给用户提供API调用的方式来实现一些自动化编排方面的需求。为了解决调用API过程中的通信加密和身份认证问题,大多数云厂商会使用同一套技术方案—基于非对称密钥算法的鉴权密钥对,这里的“密钥对”即API凭证,是云上用户调用云服务API、访问云上资源的唯一身份凭证。 在信息安全领域有一个广为认可的假定,即所有系统都是可攻破的,这里的“攻破”是广义的,可以是外部攻击,也可以是恶意内部...
实战| apikey泄露
zkaqlaoniao的博客
11-23 1767
包要一个一个放,主打的就是仔细,然后讲一个小技巧,如果在数据包里你知道某个参数很重要,如key,sessionid,admin之类,可以在bp下方的那个框里填入,然后他会高亮显示,还是很有用的。添加地址时我发现,当我添加一个地址时,他会显示腾讯地图的logo和一部分小图,那时候我就在想,既然这里可以调用腾讯地图,那是否会包含一个api key呢?就可以提交了,思路就是这样,遇到这种敏感的logo就想想api会不会被调用,然后下方输入个key,慢慢放包就行了。所以我打开bp开始抓包,点击确认时抓包。
关于地图API 使用导致内存泄漏问题
lyz417的专栏
05-25 6737
在Android 中开发 SearchPoiActivity 功能时,由于一方面是由于 不小心使用API,结果导致发生内存泄漏问题,严重的说应该是API 使用的一段时间内内存不会被释放,重复使用这个模块多次就会发生内存泄漏,具体有 LocationClient  和 PoiSearch的使用具体说明 关于locationClient 在构建的时候需要传入一个Context,而一旦将 activi
防止百度地图Key泄露和不被恶意使用
weixin_45816407的博客
12-19 4156
【代码】防止百度地图Key泄露和不被恶意使用。
小程序泄露腾讯地图apikey
hackzkaq的博客
11-22 1497
今天挖小程序时测了很久,一直没有头绪,后来想要测试一下支付漏洞,但是这里却出问题了 添加地址时我发现,当我添加一个地址时,他会显示腾讯地图的logo和一部分小图,那时候我就在想,既然这里可以调用腾讯地图,那是否会包含一个api key呢?所以我打开bp开始抓包,点击确认时抓包 包要一个一个放,主打的就是仔细,然后讲一个小技巧,如果在数据包里你知道某个参数很重要,如key,sessionid,admin之类,可以在bp下方的那个框里填入,然后他会高亮显示,还是很有用的就可以提交了,虽然只是个低危,但是也值个几
APIKEY.zip_APIKEY
09-20
文件名为“APIKEY.odt”的文档可能包含了关于API密钥的详细信息,如如何生成、分配、管理和保护API密钥。ODT文件是OpenDocument Text格式,通常用于创建和编辑文本文档,可能包括代码示例、最佳实践、安全策略等内容...
api_key.rar_SDK_api key
09-21
5. **授权和安全指南**:教导开发者如何安全地存储和传输API密钥,防止泄露。 在"api_key.rar"这个压缩包中,"api_key.m"很可能是一个源代码文件,可能是用MATLAB编写的一个示例或工具,演示如何在MATLAB环境中使用...
apikey
03-11
标题中的“apikey”一词通常指的是应用程序接口密钥,它是一种安全机制,用于验证应用程序或服务之间的通信。在本文中,我们将深入探讨API密钥的使用、重要性以及如何在个人网站上创建一个简单的REST API。 REST...
Mr-Apikey
03-27
标题“Mr-Apikey”可能指的是一个与API密钥管理相关的项目或库,可能是用于JavaScript环境中的。在本文中,我们将深入探讨API密钥的概念、其在JavaScript中的使用以及如何有效地管理和安全地处理API密钥。 API...
盘点一下使用高德api踩得坑
m0_63338904的博客
08-31 1923
采用在vue项目下public公共资源包的index.html文件里面引用高德的cdnkey :你在高德开放平台里面申请的一个web服务key,注意:如果你要使用高德的搜索api,那么你一定要申请一个web服务型key,不然无法使用搜索apiplugin=AMap.Geolocation,导入高德地图的插件,并不是地图上使用的组件。这是第一个坑。...
高德地图应用:接口调用权限安全升级( web端API接口加密)(文档篇)
草巾冒小子的博客
12-09 4731
尊敬的开发者,您好: 为了保障您的账号安全,防止Web端 Key盗用,高德开放平台即将启用新的地图JS API鉴权方式。如果您已创建过Web端Key,我们强烈建议您进行更换升级。 详细说明,请见教程: ⁃ JS API 1.4: https://lbs.amap.com/api/javascript-api/guide/abc/prepare ⁃ JS API 2.0: https://lbs.amap.com/api/jsapi-v
Github上把敏感文件或者API秘钥上传公共库并开放为public权限导致秘钥泄露
胥平勇的博客
10-18 906
我们在开发项目时,可能会使用到一些加密文件,例如私钥,或者使用到一些云服务商提供的ak(Access Key Id)或者sk(Secret Access Key),使用这些时需要格外注意,不能泄露给别人,否则可能别人会恶意调用你的接口,例如短信,可能会导致短信欠费,但是,如果我们不小心上传到了自己的开源项目上,我们可以通过以下步骤,删除git提交记录,注意,一定要对仓库有所有权,有删除仓库权限,如果是上传到别人的项目,该方法不适用。拷贝下载后的BFG Repo-Cleaner到和你项目平级的文件夹中。
只想着一直调用一直爽, 那API凭证泄漏风险如何破? ...
测试0901-1
04-09 515
如今各家云厂商都通过给用户提供API调用的方式来实现一些自动化编排方面的需求。为了解决调用API过程中的通信加密和身份认证问题,大多数云厂商会使用同一套技术方案—基于非对称密钥算法的鉴权密钥对,这里的“密钥对”即API凭证,是云上用户调用云服务API、访问云上资源的唯一身份凭证。 在信息安全领域有一个广为认可的假定,即所有系统都是可攻破的,这里的“攻破”...
在GitHub上公开秘密:泄露凭证和API密钥后该怎么办
编程故事的地方
03-27 2110
作为开发人员,如果发现刚刚将敏感文件或机密公开给公共git存储库,则需要执行一些非常重要的步骤。 什么是秘密? 在本文档中,当我们使用“机密”一词时,我们指的是用于身份验证或授权的任何内容,最常见的是API密钥,数据库凭据或安全证书。 第一步,呼吸:在大多数情况下,如果您认真遵循本指南,则只需几分钟即可消除大部分潜在损害。 这篇文章将介绍消除风险并确保将来不会发生这种风险所需的四个步骤。 ...
研究人员因在GitHub中发现星巴克的API密钥,获4000美金奖励
NOSEC2019的博客
01-02 400
因星巴克开发人员的一个失误,某个API的密钥被暴露在GitHub上,攻击者可借此访问内部系统并改动授权用户列表。 该漏洞的严重级别被设置为Critical,因为该密钥可让攻击者访问星巴克的JumpCloud API。 严重影响 漏洞猎人Vinoth Kumar在一个公开的GitHub存储库中发现了这个密钥,并通过HackerOne漏洞协调和奖励平台在通过审核的情况下公开了它。 JumpClou...
初次接触高德地图生成key,小心掉坑
Very_easygoing的博客
06-30 1884
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Redis基础命令和事务,redis持久化和主从复制
baomingshu的博客
08-31 1482
nosql数据库介绍:解释为 non-relational(非关系型数据库)。在NoSQL 数据库中数据之间是无联系的数据的结构是松散的,可变的。优势:大数据量,高性能,灵活的数据模型,高可用,低成本劣势:(1)无关系,数据之间是无联系的。
您应该使用哪个矢量数据库? 选择最适合您需求的数据库
最新发布
weixin_41446370的博客
09-01 940
在现实世界中,并非所有数据都能整齐地排列成行和列。在处理复杂的非结构化数据(如图像、视频和自然语言)时尤其如此。矢量数据库是一种以高维矢量形式存储数据的数据库,本质上是代表对象特征或特性的数字列表。每个矢量对应一个独特的实体,如一段文本、图像或视频。但为什么要使用矢量呢?奥妙就在于它能够捕捉语义和相似性。通过将数据表示为向量,我们可以对它们进行数学比较,并确定它们的相似或不相似程度。这使我们能够执行复杂的查询,如 "为我查找与此相似的图片 "或 “检索与此文本语义相关的文档”。
huggingface apikey
10-15
Hugging Face是一个非常流行的自然语言处理(NLP)技术平台,提供了许多强大的NLP模型和工具。使用Hugging Face的API,我们可以轻松地访问这些模型和工具。 在Hugging Face中使用API需要一个API密钥(apikey)。API密钥是一个独特的标识符,用于标识您的用户身份,并为您提供对Hugging Face API的访问权限。 为了获取Hugging Face的API密钥,您需要首先创建一个帐户。在注册过程中,您将被要求提供一些个人信息,并同意遵守平台的使用条款和隐私政策。完成注册后,您将获得一个API密钥,它将用作身份验证令牌,以验证您的请求。 一旦您获得了API密钥,您就可以使用它来进行Hugging Face API的调用了。您可以将API密钥添加到请求标头或参数中,以便识别您的身份并获得访问权限。 值得注意的是,API密钥是私密信息,请不要与他人分享。如果您怀疑您的API密钥已经泄露或存在安全问题,您应该立即更新您的API密钥,以保护您的账户和数据安全。 总之,使用Hugging Face的API非常方便,只需要获取API密钥并将其用于请求中即可。这样,您就可以尽情地享受Hugging Face平台提供的各种NLP功能和模型了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值