地图Key泄露绕过利用 - SRC挖掘 - 小迪渗透吧

随着系统能力增加，需要对接能力也变多，地图接口调用成为了热点之一，本次就是一次实战的地图key泄露。

一：访问一个网站，发现其前端存在地图key泄露

https://xxxxxxx

![图片](/media/202604/ec266687b3df4ee186a940427ed1a50b5880.png)

但是不能直接利用

![图片](/media/202604/31f61f5bc60945c18cfe1e2fccfdb5f56590.png)

会提示refere来源不对，那么就伪造一个referer绕过，这里就不展示referer内容了

![图片](/media/202604/1171f39307914597a0c224a177c54b027685.png)

手动key利用
```
`高德webapi
https://restapi.amap.com/v3/direction/walking?origin=116.434307,39.90909&destination=116.434446,39.90816&key=这里写key             高德`

`jsapi
https://restapi.amap.com/v3/geocode/regeo?key=这里写key&s=rsv3&location=116.434446,39.90816&callback=jsonp_258885_&platform=JS

高德小程序定位`
`https://restapi.amap.com/v3/geocode/regeo?key=这里写key&location=117.19674%2C39.14784&extensions=all&s=rsx&platform=WXJS&appname=c589cf63f592ac13bcab35f8cd18f495&sdkversion=1.2.0&logversion=2.0                百度`

`webapi
https://restapi.amap.com/v3/geocode/regeo?key=这里写key&location=117.19674%2C39.14784&extensions=all&s=rsx&platform=WXJS&https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行®ion=北京&output=json&ak=这里写key                百度`

`webapiIOS版`
`https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行®ion=北京&output=json&ak=这里写key=iPhone7%2C2&mcode=com.didapinche.taxi&os=12.5.6`

`腾讯`
`webapihttps://apis.map.qq.com/ws/place/v1/search?keyword=酒店&boundary=nearby(39.908491,116.374328,1000)&key=这里写key`
```

修复方法：使用nginx进行代理转发，通过代理转发来实现key不需要放在前端也能调用

上一篇

下一篇