Ödül Avcılığı — Google API Key

Google API Key Nedir?

API, konumlar hakkında bilgi akışını sağlamak için HTTP isteklerini kullanan bir hizmettir. Kuruluşlar, fiziksel konumlar ve önemli ilgi alanlarinin tümü bu API’deki yer örnekleridir. API, beș farklı türde isteği destekler. Bu istekler aşağıdaki gibidir:

Yer Arama: Kullanıcının mevcut konumuna ya da arama terimine göre bir konum listesi sunar.

Otomatik Yer Tamamlama: Kullanıcıların bir konumun adını ya da adresini otomatik olarak doldurmasına ve yazmasına olanak tanıyan bir özelliktir.

Yer Görselleri: Google’ın Yer veritabanında tutulan milyonlarca yer fotoğrafına erişmenizi sağlar.

Otomatik Sorgu Tamamlama: Kullanıcılar yazdıkça önerilen soruları ekrana getiren, metin tabanlı bir coğrafi arama sorgusu tahmin motorudur.

Yer Ayrıntıları: Belirli bir konum hakkında ayrıntılı bilgi sağlar ve müşteri yorumları da bu başlığa dahildir.

API key, iki farklı programın birbiriyle iletişim kurmasına izin vererek bir uygulamanın gerekli işlevselliğini diğerinde kullanmanıza olanak tanır. Pek çok firmanın gelirinin önemli bir bölümünü oluşturmaya yardımcı oldukları için API’ler son derece faydalıdır. Örneğin, Google’ın en önemli teknolojilerinden biri olan Google Haritalar API’leri, yüzlerce büyük kuruluş tarafından ücretli bir şekilde kullanılmakta ve Google için önemli ölçüde ek gelir sağlamaktadır.

Şimdi işin ödül avcılığı kısmına geçelim . Bu güvenlik açığı bana bir çok kez bugbounter.com ‘da ödül kazandırdı . (Bazı platformlar bunu bilgilendirici , bazıları p4 veya p3 kabul edebiliyor . Bugbounter bunu orta derecede bir güvenlik açığı olarak değerlendiriyor)

Peki ben bir hedefin Google Haritalar API Anahtarına nasıl ulaştım ve bunu kullanabildim ?

Araştırdığımız adres hedefadres.com olsun . Çoğu güvenlik araştırmacısı genellikle sayfa kaynak koduna göz atmayı umursamaz veya ihmal eder . Aslında çoğu kez api keyler bizleri orada hazır beklemektedir :)

Örnek olarak hedef.com adresinde CTRL+U kombinasyonu ile sayfa kaynak kodunda CTRL+F ile api , maps vb. aramalar gerçekleştirelim .

hedefadres.com sayfa kaynak koduna göz attığımızda bir api key elde ettik . Bir başka keşif yöntemi ise JS Dosyalarında Keşif . Js Dosyaları bir bilgi madeni gibidir . Js Dosyalarını bulmak için birçok yöntem mevcut . En basit ve etkili yollardan bir tanesi Burp Suite aracını ve JS bulucu eklentiler kullanmaktır . Js dosyalarından api , token vb. birçok hassas bilgi elde edilebilir . Derine dalmak lazım ;)

Burp suite aracı ile de birkaç JS Dosyası bulduğumuzu ve bu dosyalardan da api key bulduğumuzu varsayalım . Peki biz bu api keyi nasıl doğrulayacağız ve kullanacağız ?

Burada sadece api key değil diğer birçok key bulduğumuzda da bizlere doğrulamamız ve kullanmamız için yardımcı olacak bir github reposundan yardım alacağız .

https://github.com/streaak/keyhacks.

Bulduğumuz key türüne göre ilgili alana tıklayalım …

Api keyler için bazı bağlantı adresleri mevcut . Örneğin

https://maps.googleapis.com/maps/api/staticmap?center=45%2C10&zoom=7&size=400x400&key=KEY_HERE bir bağlantı adresinde bağlantıs sonunda bulunan KEY_HERE kısmını bulduğumuz api ile değiştirelim ve ziyeret edelim .

https://maps.googleapis.com/maps/api/staticmap?center=45%2C10&zoom=7&size=400x400&key=AIzaSyDttNoIdDDnDMB****

Eğer yukarıdabulunan görsel gibi 401 vb. bir hata alıyorsak diğer tüm uç noktaları denemeniz gerekmektedir . Çünkü diğer uç noktalar kısıtlı olmayabilir.Bir tanesinin bile çalışması durumunda bu key istismar edilebilir .

Hızlıca diğer uç noktaları denediğimde birkaç tanesinin savunmasız olduğunu buldum .

Bu, API anahtarının yardımıyla artık şirkete iyi bir faturaya mal olan yetkisiz aramalar yapabilirsiniz .DoS saldırısında bulunabilir ve şirkete mali zarar verilebilir .

(JS dosyalarını ve kaynak kodlarına göz atmayı ihmal etmeyin )

Bugbounter , Hackerone , Intigrity vb. platformlarda sizden önce iletilmemişse raporunuz büyük ihtimalle kabul edilecektir :)

Hackerone’da daha önce iletilen ve ödül alan raporlar :