前言
目前很多的网站都是用了地图工具来进行定位,如果没有对地图工具的key进行有效的管控,则有可能导致地图key的滥用。
泄露地图key
如下系统在js中写明了百度地图的api key值,在没有配置调用白名单时可以直接进行接管调用
另外还有在js中泄露高德地图api key的情况等
拿到ak后,可以在下面的网站找到api测试ak是否可以正常使用
https://lbsyun.baidu.com/faq/api?title=webapi
例如
https://api.map.baidu.com/location/ip?ip=111.206.214.37&coor=bd09ll&ak=https://api.map.baidu.com/panorama/v2?width=512&height=256&location=116.313393,40.04778&fov=180&ak=
api key泄露修复
隐藏密钥和避免硬编码
不要在源代码中直接硬编码API Key。硬编码的密钥容易在版本控制、逆向工程或者代码分享时泄露。将API Key存储在安全的地方,如环境变量、配置文件或加密存储的服务中。在应用程序运行时再从这些安全位置读取API Key。对于移动应用,可以考虑在服务器端进行API Key的管理和验证,然后在客户端通过安全的方式(如HTTPS)获取一个临时的、有有效期的访问令牌来使用地图服务。
设置白名单域访问
在百度地图开放平台中,你可以为你的API Key设置访问白名单。这意味着只有来自你指定的域名或IP地址的请求才能使用这个Key。要设置白名单,你需要登录到百度地图开放平台官网,找到你的应用管理界面,然后在安全设置或者API Key管理部分添加允许访问的域名或IP地址。确保只将可信的、用于实际业务的域名或IP地址添加到白名单中,避免未知或恶意的来源访问。
原文始发于微信公众号(信安路漫漫):常见地图key泄露与修复
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论