文章总结： 作者分享在HackerOne平台首份审核通过的漏洞报告，通过页面源代码和JS文件检测发现5个目标网站存在Weglot翻译服务API密钥泄露问题。关键发现包括以wg_开头的密钥可直接通过翻译请求验证有效性，泄露可能导致服务滥用和经济损失。建议使用Wappalyzer等工具识别使用Weglot的网站，并遵循道德测试原则扩大漏洞挖掘规模。 综合评分： 78 文章分类： 漏洞分析,WEB安全,实战经验,SRC活动,渗透测试

0148.我的第一份 HackerOne 审核通过的报告：在 5 个目标中发现暴露的 Weglot API 密钥

原创

Ziadali Ziadali

Rsec

2026年4月16日 10:36 贵州

在小说阅读器读本章

去阅读

本文章仅用网络安全研究学习，请勿使用相关技术进行违法犯罪活动。

声明：本文搬运自互联网，如你是原作者，请联系我们！

类型：密钥泄露

各位晚上好。这篇文章是关于我在 HackerOne 上收到的第一份报告，以及我是如何在 5 个不同的目标上发现同一个问题的。

今天我们来聊聊 Weglot API 密钥。

Weglot 是什么？

Weglot 是一款付费翻译服务，被许多网站用于提供多语言内容。它通过 API 处理翻译请求。

我是如何发现它的

#

在测试网站时，我检查了页面源代码和 JavaScript 文件。

一个常见的指标是按以下方式开头的键或变量：wg_

有时这些值直接出现在 HTML 源代码中，有时出现在链接的 .js 文件中。

#

快速侦察方法

1. 打开目标网站
2. 查看页面源代码
3. 搜索： weglot
4. 搜索以 wg_ 开头的键

如果发现暴露的 API 密钥，请测试其是否仍然有效。

概念验证请求

我使用如下的翻译请求测试了密钥：

curl -X POST \'https://api.weglot.com/translate?api_key=wg_*******' \-H 'Content-Type: application/json' \-d '{  "l_from":"en",  "l_to":"fr",  "request_url":"https://www.google.com/",  "words":[    {"w":"This is a blue car","t":1},    {"w":"This is a black car","t":1}  ]}'

如果 API 成功返回翻译后的内容，则该密钥处于激活状态并可用。

为什么这很重要

泄露的第三方 API 密钥可能导致：

• 未经授权使用付费服务
• 资源滥用
• 意外的账单费用
• 失去对外部整合的控制

我的第一份被 HackerOne 接受的报告

#

我已将此问题提交给 HackerOne，并且已被接受。

那使它成为我旅途中最令人难忘的发现之一。

我如何在 5 个不同的 Target 网站上找到它

在了解了这种模式之后，我扩大了研究规模。

我使用了诸如以下技术指纹识别平台：

• Wappalyzer
• BuiltWith
• PublicWWW

这些平台帮助我使用 Weglot 识别网站。

然后我筛选出那些有公开漏洞赏金计划的目标，并负责任地对它们进行了测试。

关键

有时，一项小小的发现可能会衍生出多份有效的报告，例如：

• 了解根本原因
• 识别可重用的模式
• 以合乎道德的方式扩大规模
• 保持在范围内

#

最后想说的话

这对我来说是一个重要的里程碑，因为它表明智能侦察和模式识别比随机测试更有价值。

始终负责任地进行测试，并遵守每个程序的规则。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Rsec Ziadali Ziadali《0148.我的第一份 HackerOne 审核通过的报告：在 5 个目标中发现暴露的 Weglot API 密钥》