地图API配置错误AK泄露利用方式

//01 前言

在某次项目测试时，通过翻找JS文件在config.js文件下获取到了某地图的AK值。随后搜集了一下网上公开的一些文章，然后进行了总结地图API服务介绍、地图API AK泄露的危害、地图AK泄露利用方式。

//02 地图API服务介绍

地点检索服务（又名Place API）是一类Web API接口服务；服务提供多种场景的地点（POI）检索功能，包括城市检索、圆形区域检索、多边形区域检索。开发者可通过接口获取地点（POI）基础或详细地理信息。

地图API服务允许开发者在不必建立自己的地图服务器的情况下，将地图数据嵌入到网站或应用中，从而实现嵌入式的地图服务应用。这些API提供了大量实用工具用以处理地图，并通过各种服务向地图添加内容，从而帮助开发者在网站或应用中创建功能全面的地图应用程序。

//03 地图API AK泄露的危害

1.账户超额使用配额与额外费用

如果API AK泄露，其他人可能会滥用泄露的AK，导致账户超额使用配额。许多地图API服务（如高德地图API）设有免费配额，但超出免费额度后，额外的请求可能会产生费用。因此，泄露的AK可能会导致不必要的费用增加。

2.数据安全和隐私风险

通过泄露的AK，恶意用户可能会访问应用程序的数据或进行不当操作，这会对数据安全和隐私造成严重影响。例如，如果攻击者获取了含有用户地理位置信息的数据库访问权限，他们可能会滥用这些信息，导致用户隐私泄露。

3.服务中断与用户体验受损

如果发现AK被泄露并被滥用，服务提供商可能会对相关密钥进行封禁或其他措施。这可能导致应用服务中断，影响正常业务运行。此外，当AK对应的账户额度被消耗完毕后，会造成地图加载异常、定位服务无法使用等问题，严重影响用户体验。

4.法律与合规风险

API AK的泄露还可能涉及法律与合规风险。例如，如果泄露的AK被用于非法活动（如发送垃圾邮件、进行网络攻击等），开发者可能会面临法律责任。同时，泄露AK也可能违反与地图服务提供商之间的服务协议，导致合同违约等法律后果。

//04 地图AK泄露利用方式

本次测试中发现泄露的地图AK是某度地图的，所以直接可以去官方提供的API接口服务文档进行尝试调用。

https://lbsyun.baidu.com/faq/api?title=webapi/guide/webservice-placeapi

随便寻找一个接口输入获取到的AK值尝试进行获取使用。

END