React Native Application

React Native 애플리케이션 분석

애플리케이션이 React Native 프레임워크로 구축되었는지 확인하려면 다음 단계를 따르세요:

1. APK 파일의 이름을 zip 확장자로 변경하고 cp com.example.apk example-apk.zip 및 unzip -qq example-apk.zip -d ReactNative 명령을 사용하여 새 폴더에 추출합니다.

2. 새로 생성된 ReactNative 폴더로 이동하여 assets 폴더를 찾습니다. 이 폴더 안에는 minified 형식의 React JavaScript가 포함된 index.android.bundle 파일이 있어야 합니다.

3. find . -print | grep -i ".bundle$" 명령을 사용하여 JavaScript 파일을 검색합니다.

JavaScript 코드를 추가로 분석하려면, 동일한 디렉토리에 index.html이라는 파일을 생성하고 다음 코드를 입력합니다:

<script src="./index.android.bundle"></script>

You can upload the file to https://spaceraccoon.github.io/webpack-exploder/ or follow these steps:

1. Google Chrome에서 index.html 파일을 엽니다.

2. OS X의 경우 Command+Option+J 또는 Windows의 경우 Control+Shift+J를 눌러 개발자 도구를 엽니다.

3. 개발자 도구에서 "Sources"를 클릭합니다. 폴더와 파일로 나뉘어진 JavaScript 파일이 보일 것입니다. 이는 주요 번들을 구성합니다.

index.android.bundle.map이라는 파일을 찾으면, 비축소 형식으로 소스 코드를 분석할 수 있습니다. 맵 파일은 소스 매핑을 포함하고 있어, 축소된 식별자를 매핑할 수 있습니다.

민감한 자격 증명 및 엔드포인트를 검색하려면 다음 단계를 따르십시오:

1. JavaScript 코드를 분석하기 위해 민감한 키워드를 식별합니다. React Native 애플리케이션은 종종 Firebase, AWS S3 서비스 엔드포인트, 개인 키 등과 같은 서드파티 서비스를 사용합니다.

2. 이 특정 경우에, 애플리케이션이 Dialogflow 서비스를 사용하고 있는 것으로 관찰되었습니다. 그 구성과 관련된 패턴을 검색합니다.

3. 재조사 과정에서 JavaScript 코드에서 민감한 하드코딩된 자격 증명이 발견된 것은 다행이었습니다.

References

• https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7