Muchas veces encontramos en un proceso de Pentesting Web alguna API KEY llegando a desconocer como explotar alguna de ellas, en este post veremos dos proyectos que nos permiten trabajar con ello e identificar como podemos abusar de la misma.
KeyHack
El primero es el proyecto de Github KeyHack que permite acceder al repositorio de Github e identificar como se puede consumir con la API Key identificada a continuación se muestra los enlaces de alguna de los sitios web que podemos consumir servicios si contamos con una API Key.
- Asana Access token
- AWS Access Key ID and Secret
- Azure Application Insights APP ID and API Key
- Bing Maps API Key
- Bit.ly Access token
- YouTube API Key
- Zapier Webhook Token
- Zendesk Access token
API Gueses
El segundo sitio viene como un complemento a KeyHack, ya que este es un servicio Web que cuenta con un buscador y en el caso que desconozcamos ca que servicio pertenece la API Key identificada podemos hacer la búsqueda respectiva.
Después de darnos algunos posibles en este caso en específico, al seleccionar el que consideremos por el tipo de aplicación a ser analizada.
Visualizamos un detalle de como interactuar con el servicio y la respuesta que se espera del mismo.
Este proyecto tiene un buen futuro, ya que tiene un listado el cual seguro irán adicionando con el tiempo.
Conoces otro sitio o contenido que nos permita conocer más sobre las API Keys y la forma que podemos hacer uso de los mismos.
Regards,
Snifer