记一次地图apikey泄漏挖掘
题记:
周末上班没事干,摸摸鱼,挖挖洞。碰到一个很奇怪的站,有个接口可以未授权访问,但是无敏感数据泄漏,这种洞也遇到的少不怎么会利用,但是发现历史包中有地图的key泄漏,想起前段时间正好看了一篇文章是关于地图key泄漏的利用方式,正好复现一下。
一.抓包
抓到一个包中含有key,域名是高德地图的。
二.利用方式
高德webapi: https://restapi.amap.com/v3/direction/walking?origin=116.434307,39.90909&destination=116.434446,39.90816&key=这里写key 高德jsapi: https://restapi.amap.com/v3/geocode/regeo?key=这里写key&s=rsv3&location=116.434446,39.90816&callback=jsonp_258885_&platform=JS 高德小程序定位: https://restapi.amap.com/v3/geocode/regeo?key=这里写key&location=117.19674%2C39.14784&extensions=all&s=rsx&platform=WXJS&appname=c589cf63f592ac13bcab35f8cd18f495&sdkversion=1.2.0&logversion=2.0 百度webapi: https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行®ion=北京&output=json&ak=这里写key 百度webapiIOS版: https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行®ion=北京&output=json&ak=这里写key=iPhone7%2C2&mcode=com.didapinche.taxi&os=12.5.6 腾讯webapi: https://apis.map.qq.com/ws/place/v1/search?keyword=酒店&boundary=nearby(39.908491,116.374328,1000)&key=这里写key
三.漏洞验证
如果出现错误代码10006或10008,说明不存在这个漏洞;如果返回了地理位置,说明漏洞存在。
我这里出现了10008说明,漏洞不存在。
四.漏洞危害
存在xx地图api接管漏洞,攻击者可利用抓取的xx地图ak值任意调用属于xx的xx地图的api额度造成XX的xx地图api额度被恶意盗用,消耗等。当额度被消耗完毕后,会造成地图加载异常,定位服务无法使用等,影响用户体验。
五.声明
仅用于安全技术分享,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责。文章作者不为此承担任何责任*