hacktricks/mobile-pentesting/android-app-pentesting/react-native-application.md

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

- क्या आप किसी **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी **कंपनी को HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आपको **PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करने की आवश्यकता है? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें!

- खोजें [**The PEASS Family**](https://opensea.io/collection/the-peass-family), हमारा विशेष संग्रह [**NFTs**](https://opensea.io/collection/the-peass-family)

- प्राप्त करें [**आधिकारिक PEASS & HackTricks swag**](https://peass.creator-spring.com)

- **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या मुझे **Twitter** पर **फ़ॉलो** करें [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

- **अपने हैकिंग ट्रिक्स साझा करें, [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud) में पीआर जमा करके।**

</details>


**जानकारी** [**https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7**](https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7) **से कॉपी की गई है**

React Native एक **मोबाइल एप्लिकेशन फ्रेमवर्क** है जिसे अधिकांशतः रिएक्ट और नेटिव प्लेटफ़ॉर्म क्षमताओं का उपयोग करके **Android** और **iOS** के लिए एप्लिकेशन विकसित करने के लिए सबसे अधिक प्रयोग किया जाता है। इन दिनों, प्लेटफ़ॉर्मों के बीच रिएक्ट का उपयोग करना बढ़ता जा रहा है।\
लेकिन अधिकांश समय में, एप्लिकेशन का मूल तर्क React Native **जावास्क्रिप्ट में स्थित होता है जिसे** dex2jar का उपयोग किए बिना प्राप्त किया जा सकता है।

## **चरण-1**: यह सत्यापित करें कि एप्लिकेशन React Native फ्रेमवर्क पर निर्मित हुई है।

इसकी जांच करने के लिए, APK को zip एक्सटेंशन के साथ नाम बदलें और फिर निम्नलिखित कमांड का उपयोग करके APK को एक नये फ़ोल्डर में निकालें
```
cp com.example.apk example-apk.zip
unzip -qq example-apk.zip -d ReactNative
```
उन्नत `ReactNative` फ़ोल्डर में ब्राउज़ करें और `assets` फ़ोल्डर ढूंढें। इस फ़ोल्डर के अंदर, यह `index.android.bundle` शामिल होना चाहिए। इस फ़ाइल में सभी React JavaScript **मिनीफ़ाइड फ़ॉर्मेट** में होगा। React Native प्रतिरूपण इंजीनियरिंग
```bash
find . -print | grep -i ".bundle$"
```
![Image for post](https://miro.medium.com/max/1559/1\*enjF2H7PclRAIcNCxDIOJw.png)

## **चरण-2**: एक फ़ाइल नामित `index.html` बनाएं जो उसी निर्देशिका में निम्नलिखित कोड के साथ हो।

आप फ़ाइल को [https://spaceraccoon.github.io/webpack-exploder/](https://spaceraccoon.github.io/webpack-exploder/) पर अपलोड कर सकते हैं या निम्नलिखित चरणों के साथ आगे बढ़ सकते हैं:
```markup
<script src="./index.android.bundle"></script>
```
![Image for post](https://miro.medium.com/max/1526/1\*Qrg2jrXF8UxwbbRJJVWmRw.png)

**Google Chrome** में **index.html** फ़ाइल खोलें। डेवलपर टूलबार (**OS X के लिए Command+Option+J या Windows के लिए Control+Shift+J**) खोलें और "स्रोत" पर क्लिक करें। आपको एक JavaScript फ़ाइल दिखाई देगी, जिसे मुख्य बंडल बनाने वाले फ़ोल्डर और फ़ाइलों में विभाजित किया गया है।

> यदि आपको `index.android.bundle.map` नामक फ़ाइल मिल जाती है, तो आप उसे अनमिनिफाइड फ़ॉर्मेट में स्रोत कोड का विश्लेषण कर सकते हैं। `map` फ़ाइल मिनिफाइड पहचानकर्ताओं को मैप करने की अनुमति देती है।

## **चरण-3**: संवेदनशील क्रेडेंशियल और एंडपॉइंट्स के लिए खोजें

इस चरण में, आपको **संवेदनशील कीवर्ड** को पहचानने के लिए **जावास्क्रिप्ट** कोड का विश्लेषण करना होगा। रिएक्ट नेटिव एप्लिकेशन के साथ एक ऐसा पैटर्न जो प्रसिद्ध है, वह Firebase, AWS s3 सेवा एंडपॉइंट्स, निजी कुंजी आदि जैसी तृतीय पक्ष की सेवाओं का उपयोग करना है।

मेरी प्राथमिक **रिकॉन प्रक्रिया** के दौरान, मैंने देखा है कि ऐप्लिकेशन डायलॉगफ़्लो सेवा का उपयोग कर रही है। इसके आधार पर, मैंने इसके कॉन्फ़िगरेशन से संबंधित एक पैटर्न खोजा है। भाग्य से, मैंने जावास्क्रिप्ट कोड में **संवेदनशील हार्डकोड क्रेडेंशियल्स** ढूंढ़ने में सफलता प्राप्त की है।

![Image for post](https://miro.medium.com/max/2086/1\*RAToFnqpp9ndM0lBeMlz6g.png)


<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

- क्या आप **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी कंपनी को **HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आपको **PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करने की आवश्यकता है? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें!

- खोजें [**The PEASS Family**](https://opensea.io/collection/the-peass-family), हमारा विशेष [**NFT**](https://opensea.io/collection/the-peass-family) संग्रह

- प्राप्त करें [**आधिकारिक PEASS और HackTricks swag**](https://peass.creator-spring.com)

- **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या मुझे **ट्विटर** पर **फ़ॉलो** करें [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

- **अपने हैकिंग ट्रिक्स को [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud) में पीआर जमा करके साझा करें।**

</details>
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			- क्या आप किसी साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को HackTricks में विज्ञापित देखना चाहते हैं? या क्या आपको PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग करने की आवश्यकता है? [सदस्यता योजनाएं](https://github.com/sponsors/carlospolop) की जांच करें!
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			`- खोजें [The PEASS Family](https://opensea.io/collection/the-peass-family), हमारा विशेष संग्रह [NFTs](https://opensea.io/collection/the-peass-family)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			`- प्राप्त करें [आधिकारिक PEASS & HackTricks swag](https://peass.creator-spring.com)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			`- शामिल हों [💬](https://emojipedia.org/speech-balloon/) [Discord समूह](https://discord.gg/hRep4RUj7f) या [टेलीग्राम समूह](https://t.me/peass) या मुझे Twitter पर फ़ॉलो करें [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			`- अपने हैकिंग ट्रिक्स साझा करें, [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud) में पीआर जमा करके।`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`


Translated to Hindi 2023-11-06 08:38:02 +00:00			`जानकारी [https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7](https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7) से कॉपी की गई है`
GitBook: [master] 3 pages modified 2021-02-01 09:24:10 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			React Native एक मोबाइल एप्लिकेशन फ्रेमवर्क है जिसे अधिकांशतः रिएक्ट और नेटिव प्लेटफ़ॉर्म क्षमताओं का उपयोग करके Android और iOS के लिए एप्लिकेशन विकसित करने के लिए सबसे अधिक प्रयोग किया जाता है। इन दिनों, प्लेटफ़ॉर्मों के बीच रिएक्ट का उपयोग करना बढ़ता जा रहा है।\
			`लेकिन अधिकांश समय में, एप्लिकेशन का मूल तर्क React Native जावास्क्रिप्ट में स्थित होता है जिसे dex2jar का उपयोग किए बिना प्राप्त किया जा सकता है।`
GitBook: [master] 3 pages modified 2021-02-01 09:24:10 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			`## चरण-1: यह सत्यापित करें कि एप्लिकेशन React Native फ्रेमवर्क पर निर्मित हुई है।`
GitBook: [master] 3 pages modified 2021-02-01 09:24:10 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			`इसकी जांच करने के लिए, APK को zip एक्सटेंशन के साथ नाम बदलें और फिर निम्नलिखित कमांड का उपयोग करके APK को एक नये फ़ोल्डर में निकालें`
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			```
GitBook: [master] 3 pages modified 2021-02-01 09:24:10 +00:00			`cp com.example.apk example-apk.zip`
			`unzip -qq example-apk.zip -d ReactNative`
			```
Translated to Hindi 2023-11-06 08:38:02 +00:00			उन्नत `ReactNative` फ़ोल्डर में ब्राउज़ करें और `assets` फ़ोल्डर ढूंढें। इस फ़ोल्डर के अंदर, यह `index.android.bundle` शामिल होना चाहिए। इस फ़ाइल में सभी React JavaScript मिनीफ़ाइड फ़ॉर्मेट में होगा। React Native प्रतिरूपण इंजीनियरिंग
GitBook: [#2820] up 2021-11-03 10:22:49 +00:00			```bash
			`find . -print \| grep -i ".bundle$"`
			```
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`![Image for post](https://miro.medium.com/max/1559/1\*enjF2H7PclRAIcNCxDIOJw.png)`
GitBook: [master] 3 pages modified 2021-02-01 09:24:10 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			## चरण-2: एक फ़ाइल नामित `index.html` बनाएं जो उसी निर्देशिका में निम्नलिखित कोड के साथ हो।
GitBook: [master] 3 pages modified 2021-02-01 09:24:10 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			`आप फ़ाइल को [https://spaceraccoon.github.io/webpack-exploder/](https://spaceraccoon.github.io/webpack-exploder/) पर अपलोड कर सकते हैं या निम्नलिखित चरणों के साथ आगे बढ़ सकते हैं:`
GitBook: [master] one page modified 2021-05-09 14:39:07 +00:00			```markup
GitBook: [master] one page modified 2021-05-09 14:52:12 +00:00			`<script src="./index.android.bundle"></script>`
GitBook: [master] 3 pages modified 2021-02-01 09:24:10 +00:00			```
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`![Image for post](https://miro.medium.com/max/1526/1\*Qrg2jrXF8UxwbbRJJVWmRw.png)`
GitBook: [master] 3 pages modified 2021-02-01 09:24:10 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			Google Chrome में index.html फ़ाइल खोलें। डेवलपर टूलबार (OS X के लिए Command+Option+J या Windows के लिए Control+Shift+J) खोलें और "स्रोत" पर क्लिक करें। आपको एक JavaScript फ़ाइल दिखाई देगी, जिसे मुख्य बंडल बनाने वाले फ़ोल्डर और फ़ाइलों में विभाजित किया गया है।
GitBook: [master] 3 pages modified 2021-02-01 09:24:10 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			> यदि आपको `index.android.bundle.map` नामक फ़ाइल मिल जाती है, तो आप उसे अनमिनिफाइड फ़ॉर्मेट में स्रोत कोड का विश्लेषण कर सकते हैं। `map` फ़ाइल मिनिफाइड पहचानकर्ताओं को मैप करने की अनुमति देती है।
GitBook: [master] 3 pages modified 2021-02-01 09:24:10 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			`## चरण-3: संवेदनशील क्रेडेंशियल और एंडपॉइंट्स के लिए खोजें`
GitBook: [master] 3 pages modified 2021-02-01 09:24:10 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			इस चरण में, आपको संवेदनशील कीवर्ड को पहचानने के लिए जावास्क्रिप्ट कोड का विश्लेषण करना होगा। रिएक्ट नेटिव एप्लिकेशन के साथ एक ऐसा पैटर्न जो प्रसिद्ध है, वह Firebase, AWS s3 सेवा एंडपॉइंट्स, निजी कुंजी आदि जैसी तृतीय पक्ष की सेवाओं का उपयोग करना है।
GitBook: [master] 3 pages modified 2021-02-01 09:24:10 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			मेरी प्राथमिक रिकॉन प्रक्रिया के दौरान, मैंने देखा है कि ऐप्लिकेशन डायलॉगफ़्लो सेवा का उपयोग कर रही है। इसके आधार पर, मैंने इसके कॉन्फ़िगरेशन से संबंधित एक पैटर्न खोजा है। भाग्य से, मैंने जावास्क्रिप्ट कोड में संवेदनशील हार्डकोड क्रेडेंशियल्स ढूंढ़ने में सफलता प्राप्त की है।
GitBook: [master] 3 pages modified 2021-02-01 09:24:10 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`![Image for post](https://miro.medium.com/max/2086/1\*RAToFnqpp9ndM0lBeMlz6g.png)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00

			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			- क्या आप साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को HackTricks में विज्ञापित देखना चाहते हैं? या क्या आपको PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग करने की आवश्यकता है? [सदस्यता योजनाएं](https://github.com/sponsors/carlospolop) की जांच करें!
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			`- खोजें [The PEASS Family](https://opensea.io/collection/the-peass-family), हमारा विशेष [NFT](https://opensea.io/collection/the-peass-family) संग्रह`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			`- प्राप्त करें [आधिकारिक PEASS और HackTricks swag](https://peass.creator-spring.com)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			`- शामिल हों [💬](https://emojipedia.org/speech-balloon/) [Discord समूह](https://discord.gg/hRep4RUj7f) या [टेलीग्राम समूह](https://t.me/peass) या मुझे ट्विटर पर फ़ॉलो करें [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Hindi 2023-11-06 08:38:02 +00:00			`- अपने हैकिंग ट्रिक्स को [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud) में पीआर जमा करके साझा करें।`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`