Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 13:13:41 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/mobile-pentesting/android-app-pentesting/react-native-application.md

54 lines
3 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

```html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>React Native JS Code Analysis</title>
</head>
<body>
<script src="index.android.bundle"></script>
</body>
</html>
```
这将允许您在浏览器中打开 `index.html` 文件,以便更容易地阅读和调试 JavaScript 代码。
```html
<script src="./index.android.bundle"></script>
```
您可以将文件上传至 [https://spaceraccoon.github.io/webpack-exploder/](https://spaceraccoon.github.io/webpack-exploder/) 或遵循以下步骤:
1. 在Google Chrome中打开`index.html`文件。
2.**Command+Option+J for OS X****Control+Shift+J for Windows** 打开开发者工具栏。
3. 在开发者工具栏中点击"Sources"。您应该能看到一个分成文件夹和文件的JavaScript文件构成了主要的bundle。
如果您找到一个名为`index.android.bundle.map`的文件您将能够以未压缩格式分析源代码。Map文件包含源映射允许您映射压缩后的标识符。
要搜索敏感凭证和端点,请遵循以下步骤:
1. 确定敏感关键词以分析JavaScript代码。React Native应用程序通常使用第三方服务如Firebase、AWS S3服务端点、私钥等。
2. 在这个特定案例中观察到应用程序正在使用Dialogflow服务。搜索与其配置相关的模式。
3. 幸运的是在侦察过程中在JavaScript代码中发现了硬编码的敏感凭证。
总的来说通过遵循这些步骤您可以分析一个React Native应用程序确认其框架并在代码中搜索潜在的敏感信息。
# 参考资料
* [https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7](https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7)
<details>
<summary><strong>从零开始学习AWS黑客技术成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
支持HackTricks的其他方式
* 如果您想在**HackTricks**中看到您的**公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)系列
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在**Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来**分享您的黑客技巧**。
</details>
Reference in a new issue View git blame Copy permalink