通过绕过限制耗尽Google地图API密钥配额

绕过限制耗尽Google地图API密钥配额的研究

在本文中，我们将探讨如何通过特定操作绕过限制，从而耗尽Google地图API密钥的配额。Google地图API是一项付费服务，允许开发者将地图功能嵌入到自己的应用程序中。然而，如果API密钥的使用没有受到严格限制，可能会导致被滥用的风险。

背景与发现

最近，我在Synack平台上进行安全研究时，发现了一个旧目标，其中包含了多个Google Maps API密钥。Google Maps API密钥通常用于验证用户身份并提供地图服务，但如果这些密钥没有设置严格的限制，就可能被恶意利用。

在测试这些密钥时，我发现它们受到HTTP限制，无法直接使用。如下图所示，如果密钥未设置限制，则会返回包含数据的响应。

深入研究API密钥的工作机制

为了更好地理解这些API密钥的工作原理，我分析了加载地图页面的HTTP请求历史记录，以下是两个关键的HTTP请求：

1. 身份验证请求：

   https://maps.googleapis.com/maps/api/js/AuthenticationService.Authenticate?1shttps%3A%2F%2Fredacted%2Fen%2Fpages%2Forder%2F&3sCANADA&4sAIzaSyA**************voRKvJ1os&回调=_xdc_。_p8xr62&密钥=AIzaSyAi9dO************r61os&通道=加拿大&令牌=20620

   该请求用于向Google地图服务验证用户身份。

2. 配额记录请求：

   https://maps.googleapis.com/maps/api/js/QuotaService.RecordEvent?1shttps%3A%2F%2Fredacted%2Fen%2Fpages%2Forder%2F&3sAIzaSyAi9dOX*****************UDvoRKvJ1os和7srnq294和9sCANADA和10e1&回调=_xdc_。_1tcta&key=AIzaSy******Gr6IUDvoRKvJ1os&channel=加拿大&token=112082

   该请求用于记录API和CPU使用情况。

测试与结果

在分析这些请求后，我开始思考，如果多次发送第二个配额记录请求会发生什么？理论上，这种操作可能会迅速耗尽API密钥的配额。由于API密钥的费用由密钥所有者支付，因此滥用这些请求可能会给密钥所有者带来额外的成本。

安全建议

为了防止API密钥被滥用，建议开发者采取以下措施：

1. 启用HTTP引用限制：确保API密钥只能在特定的域名或IP地址范围内使用。
2. 设置IP限制：限制API密钥的使用范围，防止被其他应用程序滥用。
3. 监控API使用情况：定期检查API调用记录，及时发现异常行为。

相关资源

如果您对Google Maps API的安全性感兴趣，可以参考这篇文章，作者详细介绍了如何以不同方式利用Google Maps API。

通过本文的研究，我们可以看到，未受限制的API密钥存在被滥用的风险。开发者应采取必要的安全措施，保护自己的API密钥免受恶意攻击。

原文链接: https://n0sandb0x.medium.com/exhausting-google-map-api-key-quota-by-bypassing-restrictions-fc7a357d62b2