小程序泄露腾讯地图apikey

最新推荐文章于 2025-02-25 10:14:41 发布
原创 最新推荐文章于 2025-02-25 10:14:41 发布 · 3.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#系统安全 #网络安全

作者在测试小程序时遇到支付问题,怀疑存在APIkey,通过细致的抓包发现了一个低危漏洞。他分享了在遇到敏感logo时如何通过输入可能的参数来查找潜在API调用的方法。

今天挖小程序时测了很久,一直没有头绪,后来想要测试一下支付漏洞,但是这里却出问题了


添加地址时我发现,当我添加一个地址时,他会显示腾讯地图的logo和一部分小图,那时候我就在想,既然这里可以调用腾讯地图,那是否会包含一个api key呢?

所以我打开bp开始抓包,点击确认时抓包


包要一个一个放,主打的就是仔细,然后讲一个小技巧,如果在数据包里你知道某个参数很重要,如key,sessionid,admin之类,可以在bp下方的那个框里填入,然后他会高亮显示,还是很有用的

就可以提交了,虽然只是个低危,但是也值个几十块钱,思路就是这样,遇到这种敏感的logo就想想api会不会被调用,然后下方输入个key,慢慢放包就行了

最低0.47元/天 解锁文章
你的小程序地图功能还只是“摆设”吗?支付宝地图API的深度玩法都在这里了!
**My Coding Family**
06-05 1415
🏆本文收录于《滚雪球学支付宝小程序开发》专栏,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!!
支付宝小程序接入蚂蚁链API,到底能玩出啥花样?
最新发布
**My Coding Family**
06-05 1912
🏆本文收录于《滚雪球学支付宝小程序开发》专栏,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!!
腾讯地图key秘钥
weixin_30505225的博客
04-10 5978
腾讯地图key:5WNBZ-2JYR6-SPUSL-M3WGH-U4KDT-K2FYV 转载于:https://www.cnblogs.com/shark1100913/p/8782235.html
实战| apikey泄露
zkaqlaoniao的博客
11-23 2946
包要一个一个放,主打的就是仔细,然后讲一个小技巧,如果在数据包里你知道某个参数很重要,如key,sessionid,admin之类,可以在bp下方的那个框里填入,然后他会高亮显示,还是很有用的。添加地址时我发现,当我添加一个地址时,他会显示腾讯地图的logo和一部分小图,那时候我就在想,既然这里可以调用腾讯地图,那是否会包含一个api key呢?就可以提交了,思路就是这样,遇到这种敏感的logo就想想api会不会被调用,然后下方输入个key,慢慢放包就行了。所以我打开bp开始抓包,点击确认时抓包。
腾讯地图WebService地址解析接口
01-23
腾讯地图WebService地址解析接口实现源码,可以将微信用户日志的经纬度地址解析成行政区划省市县区的地址。
高德地图JS API 一些常见使用问题(急救包)
weixin_45511682的博客
05-31 4127
本文档总结了高德地图JS API使用中可能会遇到的问题整理,包括初始化地图、使用插件、版本兼容问题等。可以帮助开发者防止硬控。
地图API配置错误漏洞导致的key或者ak泄露
2401_83799022的博客
09-19 8654
在挖这方面的漏洞的时候,你会发现这些漏洞都有一个特点,那就是这个站点的功能点存在能够调用地图API,能够有导航地图的这么一个功能点,那么我们师傅们要是遇到这样的站点,就得注意下了,我们这个时候可以F12下,看看我们这个站点的网页源代码,然后直接检索key或者ak值,然后找到了,就可以去拿我们的payload去利用了。下面这个案例是一个src的一个商城的一个地图API漏洞,是一个企业src漏洞了,像这个的找特定的资产,然后去挖特点的企业src的技巧也是有的,包括去检索的方法,后面给师傅们总结下面。
信息泄露之api的key泄露
kjssy的博客
08-19 3970
参考链接:https://www.freebuf.com/articles/web/360331.html。
微信小程序调用高德地图
04-01
注册并获取Key后,可以在小程序后台配置服务器域名,将高德地图API的请求域名加入到服务器域名的request合法域名中。 在小程序代码中,可以使用组件来显示地图,并且可以通过控制属性来改变地图的类型、中心点、...
腾讯地图集成的地图定位小程序源码分享
- 在小程序代码中引入腾讯地图JS API,并使用API Key初始化地图服务。 - 利用腾讯地图提供的各种接口,如地图展示、定位、路径规划等,编写程序代码实现具体功能。 - 测试小程序以确保地图定位功能准确无误,并符合...
uniapp(微信小程序)云开发 - 最新详细接入腾讯云发送短信功能,小程序云开发使用腾讯云服务调用api发送短信教程,附带云开发配置开通教程、腾讯云平台安装配置教程(提供详细示例代码,一键复制即可)
高级前端工程师
04-10 4411
uni-app,腾讯云,微信小程序,短信服务,发短信,云开发,uniapp微信小程序,uniApp腾讯云,详细安装配置教程,uniapp 腾讯云短信,小程序云开发集成腾讯云短信,uniapp使用腾讯云短信插件,如何使用腾讯云发短信,小程序平台怎么使用腾讯云api发送短信,微信小程序短信发送,小程序使用云函数发送短信,云开发实现小程序短信验证码的发送,小程序短信验证码,小程序腾讯云短信API,腾讯云文档,短信api用什么,发短信用什么api接口,腾讯云短信服务如何使用,如何使用腾讯云短信,通过腾讯云给手机发送
关于微信小程序使用腾讯地图的坑
qq_33138785的博客
08-20 2270
在微信小程序里面使用腾讯地图,主要用途:将获取到的经纬度进行解析。本人在项目中需要利用经纬度解析出经纬度的具体地址,所以需要使用腾讯地图。但是在真机测试和开发工具测试均无异常,到了审核发布之后,却出现Can't find variable: result的错误。 解决办法:去微信公众平台 开发配置 合法域名:apis.map.qq.com ...
防止百度地图Key泄露和不被恶意使用
weixin_45816407的博客
12-19 8005
【代码】防止百度地图Key泄露和不被恶意使用。
百度地图API 密钥
热门推荐
陈万洲的专栏
06-07 1万+
百度地图API 密钥:DD279b2a90afdf0ae7a3796787a0742e
Google地图开发密钥Api key
sunjunlaing52的专栏
06-03 872
首先,打开eclipse 选择Windows——>Perferences选项,打开Perferences窗口,在左侧窗口菜单选择“Android——>Bulid”选项。窗口右侧换面中“Default debug keystore”字段所填的路径就是“debug.keystrore”所在位置。     之后运行cmd,输入命令行keytool -list -alias androiddebugk
小程序-腾讯地图显示问题解决方法
laowang8的博客
10-16 940
1.腾讯地图key:2AFBZ-ULMK4-7C7US-XJOS6-KXPR7-FDFYO(可以用我们的,要也可以自己去腾讯地图获取)4.这个就是你小程序的地址,把他导入微信开发者工具就行。2.导入front文件进入hbuilderx。5.将调试基础库设置成2.29.1。3.填写腾讯地图key
关于百度地图api key(ak)的获取以及在js代码中的应用位置
existent
06-08 1514
<传送门>
腾讯地图密钥key申请步骤说明
日常笔记 | 干货分享 | 毕设源码 | 毕设指导 | 答辩指导
02-25 4268
在项目中需要用到腾讯地图相关接口的时候,需要在代码中配置相关的Key。这个key如何获取呢?
uniapp的H5使用地图注意点、地图key申请
m0_60312580的博客
08-02 3292
在H5 端使用地图和定位相关,需要在 manifest.json 内配置腾讯或谷歌等三方地图服务商申请的秘钥(key),高德地图需要额外配置 securityJsCode 或 serviceHost。配置了地图的key才能在H5中正常使用地图,否则会报 Map key is not configures。最近用uniapp开发H5有用到了地图,记录下使用地图需要注意的点。腾讯一个账号是可以申请5个key,每天免费的量也有限制。3、在控制台的左侧找到“应用管理”——“我的应用”
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值