【问题标题】:is firebase remote config api key is public or secret ? what one can do with that api key?firebase 远程配置 api 密钥是公开的还是秘密的?使用该 api 密钥可以做什么?
【发布时间】:2020-03-12 09:57:10
【问题描述】:

我是安全研究员,提出了一个请求,公司将以下请求发送到 firebase 远程配置,

POST /v1/projects/ssgay6/namespaces/firebase:fetch?key=AIzaSsdUkWBGtkIGsauWl2nT6aood1g18ieOyUY HTTP/1.1 
Host: firebaseremoteconfig.googleapis.com 
Content-Type:  application/json 
Connection: close 
X-Ios-Bundle-Identifier: zzkko.com.ZZKKO 
If-None-Match: etag-353013613329-firebase-fetch-2005478008 
Accept: */*
Content-Encoding: gzip
Accept-Language: en-us 
Content-Length: 371
Accept-Encoding: gzip, deflate User-Agent: dsaj/2.0 CFNetwork/1121.2.2 Darwin/19.3.0

key= parameter 应该保密吗?还是应该公开?

如果攻击者发现了 API 密钥,他可以做什么?

【问题讨论】:

    标签: android ios firebase firebase-remote-config


    【解决方案1】:

    当您在 iOS 应用程序中设置 Firebase 时(Android 应用程序似乎也是如此),您必须从您的 Firebase 帐户中 download a configuration file 并将其添加到您的应用程序中。

    它包含其他 ID,包括 CLIENT_IDREVERSED_CLIENT_ID

    据我所知,您需要拥有此配置文件才能使用API_KEY

    【讨论】:

      猜你喜欢
      • 2012-12-01
      • 2012-07-18
      • 1970-01-01
      • 1970-01-01
      • 2013-07-16
      • 2014-01-05
      • 1970-01-01
      • 2013-09-15
      • 1970-01-01
      相关资源
      最近更新 更多