挖掘手法就不多赘述了，小水洞，主要是想对网上师傅们的文章做一点补充（

 高德webapi：
 https://restapi.amap.com/v3/direction/walking?origin=116.434307,39.90909&destination=116.434446,39.90816&key=这里写key
 
 高德jsapi：
 https://restapi.amap.com/v3/geocode/regeo?key=这里写key&s=rsv3&location=116.434446,39.90816&callback=jsonp_258885_&platform=JS
 
 高德小程序定位：
 https://restapi.amap.com/v3/geocode/regeo?key=这里写key&location=117.19674%2C39.14784&extensions=all&s=rsx&platform=WXJS&appname=c589cf63f592ac13bcab35f8cd18f495&sdkversion=1.2.0&logversion=2.0
 
　百度webapi：
 https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行®ion=北京&output=json&ak=这里写key
 
 百度webapiIOS版：
 https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行®ion=北京&output=json&ak=这里写key=iPhone7%2C2&mcode=com.didapinche.taxi&os=12.5.6
 
 腾讯webapi：
 https://apis.map.qq.com/ws/place/v1/search?keyword=酒店&boundary=nearby(39.908491,116.374328,1000)&key=这里写key

这是很多师傅们的文章给出来的地图key泄露的检测方式

文章笔记推荐：

https://www.cnblogs.com/l1l1l1/p/18006433

https://www.cnblogs.com/cll-wlaq/p/18895915

但是！我在实际工作渗透的时候遇到这么个情况：

某电动车充电桩服务小程序里面看见个地图功能，果断抓包测一下：

果然直接 get 传参里面就泄露了一个地图 key ，但是拿去用其他师傅整理的检测方法的腾讯地图key检测出来没有，但是可以确确实实肯定这个 key 还在使用，那么难道就这么放弃了吗，到手的水个报告的机会要飞走了吗

这其实是因为上面给的检测的 url 是webapi 的，如果这个 key 启用了 jsapi，没有启用 webapi，检测不到的

那么我在这给师傅们提供一个方法：

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <title>腾讯地图JSAPI测试</title>
    <script charset="utf-8" src="https://map.qq.com/api/js?v=2.exp&key=这里写key"></script>
</head>
<body>
    <div id="container" style="width: 600px; height: 400px;"></div>
    <script>
        var map = new qq.maps.Map(document.getElementById("container"), {
            center: new qq.maps.LatLng(39.916527, 116.397499), // 地图中心点
            zoom: 11 // 地图显示的缩放级别
        });
    </script>
</body>
</html>

ok，填入 key 保存为 html，浏览器打开，如果出现了地图画面，那就成功了！

最后祝暑期在打hw的师傅们工作顺利(*^_^*)