对以前的地图api漏洞做点小补充

admin
admin
admin
0
文章
0
评论
2026-04-21 02:03:16 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文针对高德地图API密钥漏洞进行补充说明,指出原有利用payload可能因API更新失效(返回错误代码1009),并提供了新的HTML测试方法:将密钥嵌入脚本标签后通过浏览器打开,若密钥有效则显示地图界面,无效时控制台会报错。作者回顾了历史漏洞文章链接,列举了多个地图服务商的API调用示例。 综合评分: 75 文章分类: 漏洞分析,SRC活动,WEB安全,实战经验,解决方案

cover_image

对以前的地图api漏洞做点小补充

原创

地图大师挖漏洞 地图大师挖漏洞

地图大师的漏洞追踪指南

2026年4月2日 13:25 天津

在小说阅读器读本章

去阅读

大家好我是地图大师,最近有师傅问我,四年前我发的文章中的高德地图api利用payload遇到有些key好像用不了了,虽然这个洞早就不收了,我也很久没在研究地图相关的东西了,但是我还是抽时间来看了一下,补充了一个payload。

0x01历史回顾

#

不了解这个漏洞师傅可以看下我几年前发的文章链接如下:

1、《地图API后台配置错误,挖SRC的新玩具?》

https://www.ditusec.com/blog/2022/09/01/%E6%BC%8F%E6%B4%9E%E7%A0%94%E7%A9%B6/%E5%9C%B0%E5%9B%BEAPI%E5%90%8E%E5%8F%B0%E9%85%8D%E7%BD%AE%E9%94%99%E8%AF%AF,%E6%8C%96SRC%E7%9A%84%E6%96%B0%E7%8E%A9%E5%85%B7%EF%BC%9F/

2、《地图API漏洞新玩法更新》

https://www.ditusec.com/blog/2023/10/12/%E6%BC%8F%E6%B4%9E%E7%A0%94%E7%A9%B6/%E5%9C%B0%E5%9B%BEAPI%E6%BC%8F%E6%B4%9E%E6%96%B0%E7%8E%A9%E6%B3%95%E6%9B%B4%E6%96%B0

0x02 之前文章中给的利用key

高德webapi:https://restapi.amap.com/v3/direction/walking?origin=116.434307,39.90909&destination=116.434446,39.90816&key=**这里写key**高德jsapi:https://restapi.amap.com/v3/geocode/regeo?key= 这里写key &s=rsv3&location=116.434446,39.90816&callback=jsonp_258885_&platform=JS高德小程序定位:https://restapi.amap.com/v3/geocode/regeo?key= 这里写key &location=117.19674%2C39.14784&extensions=all&s=rsx&platform=WXJS&appname=c589cf63f592ac13bcab35f8cd18f495&sdkversion=1.2.0&logversion=2.0百度webapi:https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行&region=北京&output=json&ak=**这里写key**百度webapiIOS版:https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行&region=北京&output=json&ak= 这里写key =iPhone7%2C2&mcode=com.didapinche.taxi&os=12.5.6腾讯webapi: https://apis.map.qq.com/ws/place/v1/search?keyword=酒店&boundary=nearby(39.908491,116.374328,1000)&key=**这里写key**

0x03 增加内容

最近有的师傅发现,再使用高德key的时候发现用我之前给的所有利用payload都显示错误代码1009(调用方式异常),我通过对师傅给的key研究发现,可能是高德有点小更新现在的jsapi没法通过url形式请求了。所以给大家一个小的html代码

<!DOCTYPE&nbsp;html><html><head>&nbsp;&nbsp;<script&nbsp;src="https://webapi.amap.com/maps?v=2.0&key=这里写key"></script></head><body>&nbsp;&nbsp;<div&nbsp;id="map"&nbsp;style="width:100%;height:500px;"></div>&nbsp;&nbsp;<script>&nbsp; &nbsp;&nbsp;var&nbsp;map =&nbsp;new&nbsp;AMap.Map('map');&nbsp;&nbsp;</script></body></html>

直接把你的key写到里面然后保存成html的形式,如果key可以用,用浏览器打开显示如下

如果key存在问题显示是空白,并且f12的console和network中会提示key error

#

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:地图大师的漏洞追踪指南 地图大师挖漏洞 地图大师挖漏洞《对以前的地图api漏洞做点小补充》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0