hacktricks/mobile-pentesting/android-app-pentesting/react-native-application.md

AWS हैकिंग सीखें शून्य से लेकर हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

HackTricks का समर्थन करने के अन्य तरीके:

• यदि आप चाहते हैं कि आपकी कंपनी का विज्ञापन HackTricks में दिखाई दे या HackTricks को PDF में डाउनलोड करें, तो सब्सक्रिप्शन प्लान्स देखें!
• आधिकारिक PEASS & HackTricks स्वैग प्राप्त करें
• The PEASS Family की खोज करें, हमारा एक्सक्लूसिव NFTs का संग्रह
• 💬 Discord group में शामिल हों या telegram group में या Twitter 🐦 पर मुझे फॉलो करें @carlospolopm.
• HackTricks और HackTricks Cloud github repos में PRs सबमिट करके अपनी हैकिंग ट्रिक्स शेयर करें।

React Native एप्लिकेशन विश्लेषण

यह पुष्टि करने के लिए कि एप्लिकेशन React Native फ्रेमवर्क पर बनाया गया था, इन चरणों का पालन करें:

1. APK फाइल का नाम बदलकर एक zip एक्सटेंशन के साथ रखें और इसे नए फोल्डर में निकालें, इसके लिए कमांड cp com.example.apk example-apk.zip और unzip -qq example-apk.zip -d ReactNative का उपयोग करें।

2. नवनिर्मित ReactNative फोल्डर में नेविगेट करें और assets फोल्डर को खोजें। इस फोल्डर के अंदर, आपको index.android.bundle फाइल मिलनी चाहिए, जिसमें React JavaScript को मिनिफाइड फॉर्मेट में रखा गया है।

3. JavaScript फाइल की खोज के लिए कमांड find . -print | grep -i ".bundle$" का उपयोग करें।

JavaScript कोड का और विश्लेषण करने के लिए, उसी डायरेक्टरी में index.html नामक एक फाइल बनाएं, जिसमें निम्नलिखित कोड हो:

<script src="./index.android.bundle"></script>

आप फ़ाइल को https://spaceraccoon.github.io/webpack-exploder/ पर अपलोड कर सकते हैं या इन चरणों का पालन करें:

1. Google Chrome में index.html फ़ाइल खोलें।

2. OS X के लिए Command+Option+J या Windows के लिए Control+Shift+J दबाकर Developer Toolbar खोलें।

3. Developer Toolbar में "Sources" पर क्लिक करें। आपको एक JavaScript फ़ाइल दिखाई देगी जो फ़ोल्डर्स और फ़ाइलों में विभाजित होती है, जो मुख्य बंडल बनाती है।

यदि आपको index.android.bundle.map नामक फ़ाइल मिलती है, तो आप अनमिनिफ़ाइड प्रारूप में स्रोत कोड का विश्लेषण कर पाएंगे। Map फ़ाइलें स्रोत मैपिंग युक्त होती हैं, जो आपको मिनिफ़ाइड पहचानकर्ताओं को मैप करने की अनुमति देती हैं।

संवेदनशील क्रेडेंशियल्स और एंडपॉइंट्स की खोज के लिए, इन चरणों का पालन करें:

1. JavaScript कोड का विश्लेषण करने के लिए संवेदनशील कीवर्ड्स की पहचान करें। React Native एप्लिकेशन अक्सर तृतीय-पक्ष सेवाओं जैसे Firebase, AWS S3 सेवा एंडपॉइंट्स, प्राइवेट कीज़ आदि का उपयोग करते हैं।

2. इस विशेष मामले में, एप्लिकेशन को Dialogflow सेवा का उपयोग करते हुए देखा गया था। इसके कॉन्फ़िगरेशन से संबंधित पैटर्न की खोज करें।

3. यह सौभाग्यशाली था कि रेकॉन प्रक्रिया के दौरान JavaScript कोड में संवेदनशील हार्ड-कोडेड क्रेडेंशियल्स पाए गए।

कुल मिलाकर, इन चरणों का पालन करके, आप एक React Native एप्लिकेशन का विश्लेषण कर सकते हैं, इसके फ्रेमवर्क की पुष्टि कर सकते हैं, और कोड के भीतर संभावित संवेदनशील जानकारी की खोज कर सकते हैं।

संदर्भ

• https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7

Learn AWS hacking from zero to hero with htARTE (HackTricks AWS Red Team Expert)!

HackTricks का समर्थन करने के अन्य तरीके:

• यदि आप चाहते हैं कि आपकी कंपनी का विज्ञापन HackTricks में दिखाई दे या HackTricks को PDF में डाउनलोड करें, तो सब्सक्रिप्शन प्लान्स देखें!
• आधिकारिक PEASS & HackTricks स्वैग प्राप्त करें
• The PEASS Family की खोज करें, हमारा एक्सक्लूसिव NFTs संग्रह
• 💬 Discord group में शामिल हों या telegram group में शामिल हों या मुझे Twitter 🐦 पर फॉलो करें @carlospolopm.
• HackTricks के github repos और HackTricks Cloud में PRs सबमिट करके अपनी हैकिंग ट्रिक्स साझा करें।