Chaves API

Aplicações que utilizam-se de API para otimizar seu funcionamento, precisam de fornecer essas chaves geradas para que a API funcione corretamente.

Porém muitas vezes essas chaves API (que são um componente que deve ser privado apenas para a aplicação), estão expostas dentro do código fonte e sem nenhum meio de se proteger contra terceiros, o que faz que agentes maliciosos possam se aproveitar delas e utilizá-las.

Para validar uma chave API encontrada há diversos meios variando para qual tipo de API ela funciona, por exemplo:

• Google Maps:

Podemos validar essa chave através do link:

https://maps.googleapis.com/maps/api/streetview?size=400x400&location=40.720032,-73.988354&fov=90&heading=235&pitch=10&key=TOKEN

Trocando o campo "TOKEN" pela chave encontrada.

Através da ferramenta Google Maps API Scanner:

https://github.com/ozguralp/gmapsapiscanner

Executando ela, automaticamente ela testa os parâmetros do Google Maps e retorna uma POC validando o que foi encontrado.

• Slack:

Podemos validar essa chave através do link:

https://slack.com/api/auth.test?token=xoxp-TOKEN_HERE&pretty=1

Trocando o campo "TOKEN" pela chave encontrada.

• Github

Podemos validar essa chave através do link:

https://api.github.com/users/whatever?client_id=xxxx&client_secret=yyyy

Podemos validar trocando o parâmetro "client_id" e "client_secret"

• Gitlab

Podemos validar essa chave através do link:

https://gitlab.example.com/api/v4/projects?private_token=<your_access_token>

Podemos validar trocando o parâmetro "your_acess_token"

API Key Leaks · master · pentest-tools / PayloadsAllTheThings · GitLabGitLab

GitHub - streaak/keyhacks: Keyhacks is a repository which shows quick ways in which API keys leaked by a bug bounty program can be checked to see if they're valid.GitHub