hacktricks/mobile-pentesting/android-app-pentesting/react-native-application.md

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>React Native JS Code Analysis</title>
</head>
<body>
    <script src="index.android.bundle"></script>
</body>
</html>

这将允许您在浏览器中打开 index.html 文件，以便更容易地阅读和调试 JavaScript 代码。

<script src="./index.android.bundle"></script>

您可以将文件上传至 https://spaceraccoon.github.io/webpack-exploder/ 或遵循以下步骤：

1. 在Google Chrome中打开index.html文件。

2. 按 Command+Option+J for OS X 或 Control+Shift+J for Windows 打开开发者工具栏。

3. 在开发者工具栏中点击"Sources"。您应该能看到一个分成文件夹和文件的JavaScript文件，构成了主要的bundle。

如果您找到一个名为index.android.bundle.map的文件，您将能够以未压缩格式分析源代码。Map文件包含源映射，允许您映射压缩后的标识符。

要搜索敏感凭证和端点，请遵循以下步骤：

1. 确定敏感关键词以分析JavaScript代码。React Native应用程序通常使用第三方服务，如Firebase、AWS S3服务端点、私钥等。

2. 在这个特定案例中，观察到应用程序正在使用Dialogflow服务。搜索与其配置相关的模式。

3. 幸运的是，在侦察过程中在JavaScript代码中发现了硬编码的敏感凭证。

总的来说，通过遵循这些步骤，您可以分析一个React Native应用程序，确认其框架，并在代码中搜索潜在的敏感信息。

参考资料

• https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7

从零开始学习AWS黑客技术，成为 htARTE (HackTricks AWS Red Team Expert)！

支持HackTricks的其他方式：

• 如果您想在HackTricks中看到您的公司广告或下载HackTricks的PDF，请查看订阅计划！
• 获取官方PEASS & HackTricks商品
• 发现PEASS家族，我们独家的NFTs系列
• 加入 💬 Discord群组 或 telegram群组 或在Twitter 🐦 上关注我 @carlospolopm。
• 通过向HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。