【发布时间】:2020-03-12 09:57:10
【问题描述】:
我是安全研究员,提出了一个请求,公司将以下请求发送到 firebase 远程配置,
POST /v1/projects/ssgay6/namespaces/firebase:fetch?key=AIzaSsdUkWBGtkIGsauWl2nT6aood1g18ieOyUY HTTP/1.1
Host: firebaseremoteconfig.googleapis.com
Content-Type: application/json
Connection: close
X-Ios-Bundle-Identifier: zzkko.com.ZZKKO
If-None-Match: etag-353013613329-firebase-fetch-2005478008
Accept: */*
Content-Encoding: gzip
Accept-Language: en-us
Content-Length: 371
Accept-Encoding: gzip, deflate User-Agent: dsaj/2.0 CFNetwork/1121.2.2 Darwin/19.3.0
key= parameter 应该保密吗?还是应该公开?
如果攻击者发现了 API 密钥,他可以做什么?
【问题讨论】:
标签: android ios firebase firebase-remote-config