hacktricks/mobile-pentesting/android-app-pentesting/react-native-application.md

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

• Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite SUBSCRIPTION PLANS!
• Nabavite zvanični PEASS & HackTricks swag
• Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
• Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitter-u 🐦 @carlospolopm.
• Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Analiza React Native aplikacije

Da biste potvrdili da je aplikacija izgrađena na React Native okviru, pratite ove korake:

1. Preimenujte APK datoteku sa ekstenzijom zip i izvucite je u novi folder koristeći komandu cp com.example.apk example-apk.zip i unzip -qq example-apk.zip -d ReactNative.

2. Idite u novo kreirani ReactNative folder i pronađite assets folder. U ovom folderu trebali biste pronaći datoteku index.android.bundle, koja sadrži React JavaScript u minifikovanom formatu.

3. Koristite komandu find . -print | grep -i ".bundle$" da biste pretražili JavaScript datoteku.

Za dalju analizu JavaScript koda, kreirajte datoteku nazvanu index.html u istom direktorijumu sa sledećim kodom:

<script src="./index.android.bundle"></script>

Možete otpremiti datoteku na https://spaceraccoon.github.io/webpack-exploder/ ili pratite ove korake:

1. Otvorite index.html datoteku u Google Chrome pregledaču.

2. Otvorite Developer Toolbar pritiskom na Command+Option+J za OS X ili Control+Shift+J za Windows.

3. Kliknite na "Sources" u Developer Toolbar-u. Trebali biste vidjeti JavaScript datoteku koja je podijeljena u mape i datoteke, čineći glavni paket.

Ako pronađete datoteku nazvanu index.android.bundle.map, moći ćete analizirati izvorni kod u ne-minificiranom formatu. Map datoteke sadrže mapiranje izvora, što vam omogućava mapiranje minificiranih identifikatora.

Da biste pretražili osjetljive podatke i krajnje točke, slijedite ove korake:

1. Identificirajte osjetljive ključne riječi za analizu JavaScript koda. React Native aplikacije često koriste usluge trećih strana poput Firebase-a, AWS S3 usluge, privatnih ključeva, itd.

2. U ovom konkretnom slučaju, primijećeno je da aplikacija koristi Dialogflow uslugu. Pretražite uzorak koji je povezan s njegovom konfiguracijom.

3. Bilo je sreće da su osjetljivi tvrdokodirani podaci pronađeni u JavaScript kodu tijekom procesa istraživanja.

Reference

• https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7

Naučite hakiranje AWS-a od nule do heroja s htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

• Ako želite vidjeti oglašavanje vaše tvrtke u HackTricks-u ili preuzeti HackTricks u PDF formatu, provjerite SUBSCRIPTION PLANS!
• Nabavite službenu PEASS & HackTricks opremu
• Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
• Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @carlospolopm.
• Podijelite svoje hakirajuće trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorije.