{% hint style="success" %}
Learn & practice AWS Hacking:
[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Learn & practice GCP Hacking: 
[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks
* Sprawd藕 [**plany subskrypcyjne**](https://github.com/sponsors/carlospolop)!
* **Do艂膮cz do** 馃挰 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **艣led藕** nas na **Twitterze** 馃惁 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Podziel si臋 trikami hackingowymi, przesy艂aj膮c PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytori贸w na githubie.
{% endhint %}
# Analiza aplikacji React Native
Aby potwierdzi膰, czy aplikacja zosta艂a zbudowana na frameworku React Native, wykonaj nast臋puj膮ce kroki:
1. Zmie艅 nazw臋 pliku APK na plik zip i rozpakuj go do nowego folderu, u偶ywaj膮c polecenia `cp com.example.apk example-apk.zip` i `unzip -qq example-apk.zip -d ReactNative`.
2. Przejd藕 do nowo utworzonego folderu ReactNative i zlokalizuj folder assets. Wewn膮trz tego folderu powiniene艣 znale藕膰 plik `index.android.bundle`, kt贸ry zawiera React JavaScript w zminimalizowanym formacie.
3. U偶yj polecenia `find . -print | grep -i ".bundle$"` aby wyszuka膰 plik JavaScript.
Aby dalej analizowa膰 kod JavaScript, utw贸rz plik o nazwie `index.html` w tym samym katalogu z nast臋puj膮cym kodem:
```html
```
Mo偶esz przes艂a膰 plik na [https://spaceraccoon.github.io/webpack-exploder/](https://spaceraccoon.github.io/webpack-exploder/) lub post臋powa膰 zgodnie z tymi krokami:
1. Otw贸rz plik `index.html` w Google Chrome.
2. Otw贸rz Pasek Narz臋dzi Dewelopera, naciskaj膮c **Command+Option+J dla OS X** lub **Control+Shift+J dla Windows**.
3. Kliknij na "Sources" w Pasek Narz臋dzi Dewelopera. Powiniene艣 zobaczy膰 plik JavaScript podzielony na foldery i pliki, kt贸re tworz膮 g艂贸wny pakiet.
Je艣li znajdziesz plik o nazwie `index.android.bundle.map`, b臋dziesz m贸g艂 analizowa膰 kod 藕r贸d艂owy w niezmienionej formie. Pliki map zawieraj膮 mapowanie 藕r贸d艂a, co pozwala na mapowanie zminifikowanych identyfikator贸w.
Aby wyszuka膰 wra偶liwe dane uwierzytelniaj膮ce i punkty ko艅cowe, post臋puj zgodnie z tymi krokami:
1. Zidentyfikuj wra偶liwe s艂owa kluczowe do analizy kodu JavaScript. Aplikacje React Native cz臋sto korzystaj膮 z us艂ug stron trzecich, takich jak Firebase, punkty ko艅cowe us艂ugi AWS S3, klucze prywatne itp.
2. W tym konkretnym przypadku zaobserwowano, 偶e aplikacja korzysta z us艂ugi Dialogflow. Wyszukaj wz贸r zwi膮zany z jej konfiguracj膮.
3. Mia艂e艣 szcz臋艣cie, 偶e wra偶liwe dane uwierzytelniaj膮ce zakodowane na sta艂e zosta艂y znalezione w kodzie JavaScript podczas procesu rekonesansu.
## References
* [https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7](https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7)
{% hint style="success" %}
Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks
* Sprawd藕 [**plany subskrypcyjne**](https://github.com/sponsors/carlospolop)!
* **Do艂膮cz do** 馃挰 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **艣led藕** nas na **Twitterze** 馃惁 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Podziel si臋 sztuczkami hackingowymi, przesy艂aj膮c PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytori贸w github.
{% endhint %}