React Native Application
Analiza aplikacji React Native
Aby potwierdzić, czy aplikacja została zbudowana na frameworku React Native, wykonaj następujące kroki:
Zmień nazwę pliku APK na plik zip i rozpakuj go do nowego folderu, używając polecenia
cp com.example.apk example-apk.zipiunzip -qq example-apk.zip -d ReactNative.Przejdź do nowo utworzonego folderu ReactNative i zlokalizuj folder assets. Wewnątrz tego folderu powinieneś znaleźć plik
index.android.bundle, który zawiera React JavaScript w zminimalizowanym formacie.Użyj polecenia
find . -print | grep -i ".bundle$"aby wyszukać plik JavaScript.
Aby dalej analizować kod JavaScript, utwórz plik o nazwie index.html w tym samym katalogu z następującym kodem:
Możesz przesłać plik na https://spaceraccoon.github.io/webpack-exploder/ lub postępować zgodnie z tymi krokami:
Otwórz plik
index.htmlw Google Chrome.Otwórz Pasek Narzędzi Dewelopera, naciskając Command+Option+J dla OS X lub Control+Shift+J dla Windows.
Kliknij na "Sources" w Pasek Narzędzi Dewelopera. Powinieneś zobaczyć plik JavaScript podzielony na foldery i pliki, które tworzą główny pakiet.
Jeśli znajdziesz plik o nazwie index.android.bundle.map, będziesz mógł analizować kod źródłowy w niezmienionej formie. Pliki map zawierają mapowanie źródła, co pozwala na mapowanie zminifikowanych identyfikatorów.
Aby wyszukać wrażliwe dane uwierzytelniające i punkty końcowe, postępuj zgodnie z tymi krokami:
Zidentyfikuj wrażliwe słowa kluczowe do analizy kodu JavaScript. Aplikacje React Native często korzystają z usług stron trzecich, takich jak Firebase, punkty końcowe usługi AWS S3, klucze prywatne itp.
W tym konkretnym przypadku zaobserwowano, że aplikacja korzysta z usługi Dialogflow. Wyszukaj wzór związany z jej konfiguracją.
Miałeś szczęście, że wrażliwe dane uwierzytelniające zakodowane na stałe zostały znalezione w kodzie JavaScript podczas procesu rekonesansu.
References
Last updated
