记一次地图API-KEY泄露

在我们使用一些导航地图的时候，在创建web服务的API时候，就可能会把我们的key值或ak值（百度地图的密钥叫ak）给泄露出来，像这个可以直接在改站点的网页源代码检索泄露出来的key或者ak值

在一个系统的网页前端发现了ak

 

 验证的payload:

 

高德webapi：

 https://restapi.amap.com/v3/direction/walking?origin=116.434307,39.90909&destination=116.434446,39.90816&key=这里写key


 高德jsapi：

 https://restapi.amap.com/v3/geocode/regeo?key=这里写key&s=rsv3&location=116.434446,39.90816&callback=jsonp_258885_&platform=JS

 高德小程序定位：

 https://restapi.amap.com/v3/geocode/regeo?key=这里写key&location=117.19674%2C39.14784&extensions=all&s=rsx&platform=WXJS&appname=c589cf63f592ac13bcab35f8cd18f495&sdkversion=1.2.0&logversion=2.0


　百度webapi：

 https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行®ion=北京&output=json&ak=这里写key


 百度webapiIOS版：

 https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行®ion=北京&output=json&ak=这里写key=iPhone7%2C2&mcode=com.didapinche.taxi&os=12.5.6


 腾讯webapi：

 https://apis.map.qq.com/ws/place/v1/search?keyword=酒店&boundary=nearby(39.908491,116.374328,1000)&key=这里写key

　　这里使用百度的payload，调用成功

 

 危害：

滥用和超额使用：

如果 API Key 泄露，其他人可能会滥用你的 API Key，导致你的账户超额使用配额，从而产生额外费用或服务中断。

费用增加：

高德地图 API 通常有免费配额，但一旦超出免费额度，额外的请求可能会产生费用。泄露的 API Key 可能会导致不必要的费用增加