Handbook
  • Introdução
  • Empresa
    • Bem Vindo a Vantico!
    • Valores da Vantico
    • Trabalho Remoto
    • Branding
      • Cores
      • Tipografia
      • Ilustrações
      • Tom de voz & Descrições
    • Políticas
    • Soluções utilizadas pela Vantico
  • Serviços
    • Inteligência de ameaças
    • Revisão de código seguro
    • Pentest WEB
    • Pentest API
    • Pentest Mobile
    • Pentest rede interna
    • Pentest rede externa
    • Revisão de configuração cloud
    • Pentest Azure Active Directory
    • Pentest Desktop
    • Pentest IA/LLM
    • Red Team e Emulação de Adversário
  • Parceiros
    • Visão geral sobre Pentest
    • Tipos de Pentest
    • Relatório do Pentest
    • Teste de correção (Re-test)
    • Pentest para PCI DSS
    • Perguntas frequentes
  • Pentester
    • Markdown
    • Como reportar uma vulnerabilidade
  • Plataforma
    • Começe aqui
      • Acessando a Plataforma
      • Preparação para o Pentest
      • Selecione o Tipo de Pentest
      • Definir os Requisitos do Pentest
        • Alvo
        • Teste suas Crendenciais
        • Instruções para cada Pentest
      • Especifique os Detalhes do Pentest
        • Planejamento e Escopo do Pentest
        • Revisar e Enviar o Pentest
        • Expectativas do Pentest
        • Glossário
    • Changelog
    • Pentests
      • Processos do Pentest
        • Estados de Pentest
        • Lista de verificação de cobertura
      • Descobertas
        • Corrigindo Descobertas
        • Estados das Descobertas
        • Níveis de gravidade
      • Relatórios
        • Conteúdo de um relatório Pentest
        • Customize seu Relatório de Pentest
        • Relatórios de Pentest de marca conjunta
    • Colaboração
      • Colabore em Pentests
      • Gerenciar colaboradores do Pentest
      • Funções e permissões do usuário
      • Notificações
    • Domínios
    • DAST Scanner
      • Alvos
      • Autenticação do Alvo
    • Organização
      • Gerenciar usuários
    • Conta Vantico
      • Solucionar problemas de Login
      • Configurações da Conta
      • Melhores Práticas com a Senha
  • Metodologias
    • API
      • GraphQL
      • REST
    • Cloud
      • AWS
      • BucketLoot
      • Referências
    • Mobile
      • iOS
      • Android
      • Referências
    • Kubernetes
    • Rede Externa
      • Enumeração de Subdomínios
      • Low Hanging Fruits
      • Credenciais de Serviços padrão
    • Rede Interna
      • PowerShell
      • Movimentação Lateral
      • Pós Exploração
      • Escalação de Privilégios
      • Low Hanging Fruits
      • Credenciais de Serviços padrão
      • Referências
    • Aplicações Web
      • Checklist
      • Low Hanging Fruits
      • Gerando Valor
      • Técnicas
      • Automatizando o Scan por Secrets
      • Chaves API
      • Referências
    • Spear Phishing
    • Ferramentas
    • Gerando wordlists efetivas
    • Guia de engajamento de um pentest
Powered by GitBook
On this page

Was this helpful?

  1. Metodologias
  2. Aplicações Web

Chaves API

PreviousAutomatizando o Scan por SecretsNextReferências

Last updated 9 months ago

Was this helpful?

Aplicações que utilizam-se de API para otimizar seu funcionamento, precisam de fornecer essas chaves geradas para que a API funcione corretamente.

Porém muitas vezes essas chaves API (que são um componente que deve ser privado apenas para a aplicação), estão expostas dentro do código fonte e sem nenhum meio de se proteger contra terceiros, o que faz que agentes maliciosos possam se aproveitar delas e utilizá-las.

Para validar uma chave API encontrada há diversos meios variando para qual tipo de API ela funciona, por exemplo:

  • Google Maps:

Podemos validar essa chave através do link:

Trocando o campo "TOKEN" pela chave encontrada.

Através da ferramenta Google Maps API Scanner:

Executando ela, automaticamente ela testa os parâmetros do Google Maps e retorna uma POC validando o que foi encontrado.

  • Slack:

Podemos validar essa chave através do link:

https://slack.com/api/auth.test?token=xoxp-TOKEN_HERE&pretty=1

Trocando o campo "TOKEN" pela chave encontrada.

  • Github

Podemos validar essa chave através do link:

Podemos validar trocando o parâmetro "client_id" e "client_secret"

  • Gitlab

Podemos validar essa chave através do link:

Podemos validar trocando o parâmetro "your_acess_token"

Para mais informações consulte:

https://maps.googleapis.com/maps/api/streetview?size=400x400&location=40.720032,-73.988354&fov=90&heading=235&pitch=10&key=TOKEN
https://github.com/ozguralp/gmapsapiscanner
https://api.github.com/users/whatever?client_id=xxxx&client_secret=yyyy
https://gitlab.example.com/api/v4/projects?private_token=<your_access_token>
API Key Leaks · master · pentest-tools / PayloadsAllTheThings · GitLabGitLab
GitHub - streaak/keyhacks: Keyhacks is a repository which shows quick ways in which API keys leaked by a bug bounty program can be checked to see if they're valid.GitHub
Logo
Logo