firebase 远程配置 api 密钥是 public 还是秘密? api 键可以做什么?
is firebase remote config api key is public or secret ? what one can do with that api key?
我是一名安全研究员,提出了一个请求,其中公司正在向 firebase 远程配置发送以下请求,
POST /v1/projects/ssgay6/namespaces/firebase:fetch?key=AIzaSsdUkWBGtkIGsauWl2nT6aood1g18ieOyUY HTTP/1.1
Host: firebaseremoteconfig.googleapis.com
Content-Type: application/json
Connection: close
X-Ios-Bundle-Identifier: zzkko.com.ZZKKO
If-None-Match: etag-353013613329-firebase-fetch-2005478008
Accept: */*
Content-Encoding: gzip
Accept-Language: en-us
Content-Length: 371
Accept-Encoding: gzip, deflate User-Agent: dsaj/2.0 CFNetwork/1121.2.2 Darwin/19.3.0
key= parameter 应该保密吗?或者它应该是 public?
如果攻击者找到 API 密钥可以做什么?
当您在 iOS 应用程序中设置 firebase 时(Android 似乎也一样),您必须从您的 Firebase 帐户 download a configuration file 并将其添加到您的应用程序.
它包含其他 ID,包括 CLIENT_ID 和 REVERSED_CLIENT_ID。
据我所知,您需要拥有此配置文件才能使用 API_KEY
我是一名安全研究员,提出了一个请求,其中公司正在向 firebase 远程配置发送以下请求,
POST /v1/projects/ssgay6/namespaces/firebase:fetch?key=AIzaSsdUkWBGtkIGsauWl2nT6aood1g18ieOyUY HTTP/1.1
Host: firebaseremoteconfig.googleapis.com
Content-Type: application/json
Connection: close
X-Ios-Bundle-Identifier: zzkko.com.ZZKKO
If-None-Match: etag-353013613329-firebase-fetch-2005478008
Accept: */*
Content-Encoding: gzip
Accept-Language: en-us
Content-Length: 371
Accept-Encoding: gzip, deflate User-Agent: dsaj/2.0 CFNetwork/1121.2.2 Darwin/19.3.0
key= parameter 应该保密吗?或者它应该是 public?
如果攻击者找到 API 密钥可以做什么?
当您在 iOS 应用程序中设置 firebase 时(Android 似乎也一样),您必须从您的 Firebase 帐户 download a configuration file 并将其添加到您的应用程序.
它包含其他 ID,包括 CLIENT_ID 和 REVERSED_CLIENT_ID。
据我所知,您需要拥有此配置文件才能使用 API_KEY