记一次地图apikey泄漏挖掘

题记:

  周末上班没事干,摸摸鱼,挖挖洞。碰到一个很奇怪的站,有个接口可以未授权访问,但是无敏感数据泄漏,这种洞也遇到的少不怎么会利用,但是发现历史包中有地图的key泄漏,想起前段时间正好看了一篇文章是关于地图key泄漏的利用方式,正好复现一下。

一.抓包

抓到一个包中含有key,域名是高德地图的。

 

二.利用方式

 高德webapi:
 https://restapi.amap.com/v3/direction/walking?origin=116.434307,39.90909&destination=116.434446,39.90816&key=这里写key
 
 高德jsapi:
 https://restapi.amap.com/v3/geocode/regeo?key=这里写key&s=rsv3&location=116.434446,39.90816&callback=jsonp_258885_&platform=JS
 
 高德小程序定位:
 https://restapi.amap.com/v3/geocode/regeo?key=这里写key&location=117.19674%2C39.14784&extensions=all&s=rsx&platform=WXJS&appname=c589cf63f592ac13bcab35f8cd18f495&sdkversion=1.2.0&logversion=2.0
 
 百度webapi:
 https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行&region=北京&output=json&ak=这里写key
 
 百度webapiIOS版:
 https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行&region=北京&output=json&ak=这里写key=iPhone7%2C2&mcode=com.didapinche.taxi&os=12.5.6
 
 腾讯webapi:
 https://apis.map.qq.com/ws/place/v1/search?keyword=酒店&boundary=nearby(39.908491,116.374328,1000)&key=这里写key

三.漏洞验证

  如果出现错误代码10006或10008,说明不存在这个漏洞;如果返回了地理位置,说明漏洞存在。

我这里出现了10008说明,漏洞不存在。

 

 四.漏洞危害

    存在xx地图api接管漏洞,攻击者可利用抓取的xx地图ak值任意调用属于xx的xx地图的api额度造成XX的xx地图api额度被恶意盗用,消耗等。当额度被消耗完毕后,会造成地图加载异常,定位服务无法使用等,影响用户体验。

 

五.声明

  仅用于安全技术分享,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责。文章作者不为此承担任何责任*

 

热门相关:庶子风流   铁血大明   锦桐   资本大唐   盛宠之嫡女医妃