扩大攻击层面:React Native Android应用程序

最新推荐文章于 2023-12-26 23:03:10 发布
最新推荐文章于 2023-12-26 23:03:10 发布
阅读量2.7k 收藏 6
点赞数 3
分类专栏: 技术 文章标签: React Native Android iOS 安全 经验分享
文章由知柯®信安原创,转载请申明
本文链接:https://blog.csdn.net/qq_25879801/article/details/111767759
版权

React Native是一个移动应用程序框架,最常用于通过启用React和本机平台功能来为Android和iOS开发应用程序。如今,在你所有资产(有时使用相同的代码)的平台上使用React变得越来越流行,包括公司必须提供的任何移动应用程序。

在检测时,我们通常集中精力尽可能扩大攻击面。这通常意味着深入研究已经为移动平台编写的应用程序,以查找其他API端点或其他更多信息,例如API密钥形式的敏感凭据。

这篇博文的最终目标是能够从APK到React Native JavaScript,可以对其进行进一步分析以分析API路由和敏感凭证是否泄漏。

通常,在反转Android应用程序时,会使用dex2jar将其反编译,然后使用JD-GUI进行分析。在处理React Native应用程序时,如果该应用程序具有你要分析的任何本机代码,这将很有用,但是大多数情况下,应用程序的核心逻辑在于React JavaScript,无需使用即可获取dex2jar。

注意:dex2jar通过将Java字节码转换为Dalvik字节码来工作,因此,并不能始终保证干净有效的输出,因此请不要害怕使用该smali工具来探究Dalvik字节码。

从React Native APK获取JavaScript

对于此示例,我将从以下React Native应用程序中提取JavaScript:

com.react_native_examples(https://apkpure.com/react-native-examples/com.react_native_examples

下载完上述APK后,请使用以下命令将其解压缩到新文件夹中:

<
最低0.47元/天 解锁文章
知柯信安
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 8
    评论
专栏目录
关于安卓逆向
无颜的博客
04-25 775
Apktool一定要用最新版 Jadx可视化逆向工具,拖入APK可以直接把Smali代码反汇编成Java代码,可读性比Jeb好,有时候有的地方反汇编不了 Jeb收费,好就好在可以动态调试,需要把APK重新打包,打开开发者选项,然后修改全局可调试 ro.debuggable 1 或者修改AndroidManifest.xml,在application节点下添加属性 android:debuggable="true",然后Jeb动态调试有D标识就可以动态调试了 AndroidKiller里面有个全局文件搜索器挺
RN做的Android应用反编译,将RN嵌入到现有的Android应用中
weixin_36448083的博客
05-25 620
[参考]http://www.jianshu.com/p/99f2a4c21986官方文档RN的Guide文档详细地介绍了整个过程,不过其中有些地方没说清楚,可能会给初学者埋下深坑。自己走过一遍,把这些坑列出来。这里整篇地援引原文档,并对原有顺序作了调整。开发环境准备首先需要搭建开发环境 ,才能进行后面的步骤。添加JS环境命令行,cd到项目到根文件夹下,然后按顺序执行下列命令:$ npm init...
逆向React Native开发的APP
最新发布
qq_39609284的博客
12-26 1046
React Native是使用JavaScript来编写AndroidIOS的应用,其最大的优点是跨平台运行。它能将JavaScript语言与原生的代码结合起来,同时开发使用。
UDP-Hunter:针对各种UDP服务的网络安全评估工具
m0_59598029的博客
08-24 584
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
react的app快速逆向关键文件index.android.bundle混淆解密
我不喜欢这个世界
08-08 5195
首先 把react开发的app包解压出来 更改后缀名 xxx.apk为xxx.zip 然后解压 打开解压后目录 assets文件夹 找到index.android.bundle文件 react打包后代码的的关键逻辑都在这里面 我需要找到 加密 aes或者des加密 copy出代码 到ide里面格式化出来 搜索 aes或者des定位到 关键代码 分析一下 n是aes加密的库 ,u还不确定 t是data要加密的数据 f是key秘钥 因为是cbc加密,所以需要iv填充,iv是key.
Blog-App:一个React Native Blog应用程序
03-16
总结来说,“Blog-App”项目是一个综合性的React Native实践案例,涵盖了从基础的React Native概念到实际应用开发的多个层面。通过学习和研究这个项目,开发者能够深入理解React Native的工作原理,并具备构建类似...
TouTiaoAd:react native头条广告穿山甲广告,腾讯广告优量汇广点通广告集成reactnative RN
05-12
在IT行业中,React Native是一种非常流行的跨平台移动应用开发框架,它允许开发者使用JavaScript和React来构建原生的iOSAndroid应用。本文将详细介绍如何在React Native项目中集成头条广告、穿山甲广告、腾讯广告...
PadmaeB5v2:具有React Native的数据库系列移动应用程序
05-10
在JavaScript层面,PadmaeB5v2应用很可能使用了像AsyncStorage这样的轻量级解决方案来存储用户数据,或者可能引入了更强大的数据库库如React Native SQLite Storage或react-native-mssqlite。这些库允许开发者执行...
androidApp横竖屏接口_religiousryg_reactnative_android_
09-29
本文将深入探讨如何在ReactNative框架下调用Android原生接口来实现横竖屏的切换,以满足"androidApp横竖屏接口_religiousryg_reactnative_android_"这个主题的要求。 首先,ReactNative(RN)是一个由Facebook开发...
AudioRecorder:一个ReactNative应用,可用于录制和播放音频
02-18
《AudioRecorder:ReactNative音频录制与播放应用详解》 在当今移动应用开发领域,React Native以其跨平台的优势,成为开发者们的热门选择。AudioRecorder是一款基于React Native构建的应用,专为实现音频录制和...
D4TA-HUNTER:一款针对Kali的开源网络情报GUI工具
ALLEN'Blog
03-30 379
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
React-Native系列》React-Native实战系列博客汇总
等待就是浪费青春
11-07 7015
从2016年7月份开始,坚持写ReactNative系列博客,记录工作中遇到的点滴。今天把博客汇如下:《React-Native系列》1、初探React-NativeReact-Native系列》2、RN与native交互与数据传递《React-Native系列》3、RN与native交互之Callback、Promise《React-Native系列》4、表单界面代码编写《React-Nati
react-native不能生成index.android.bundle
yougliu的专栏
06-13 8146
react-native不能生成index.android.bundle继上篇配置react-native Android环境,在运行新创建的项目时,会出现手机红色屏幕,注意这里实在真机上,模拟器上不知道,没有进行测试。并且提示不能连接到server端。解决办法 在项目目录下 react-native start > /dev/null 2>&1 & adb reverse tcp:
Android React Native应用逆向分析初探
byc6352的专栏
04-05 2546
随着移动互联网时代的到来,用户在移动设备上花费的时间越来越多,不仅是因为移动设备方便携带,而且还因为层出不穷的大量应用提供为用户使用,以往在电脑上才能做的事情,现在仅靠一部手机就可以解决了。当前的移动设备厂商很多,但是被广泛使用的主流系统却只有两个,AndroidiOS,因此现在大多数应用都会有两个版本,Android版本和iOS版本。然而这两种应用的开发方式却完全不同,移动客户端开发人员不得不...
深入了解Bundle和Map
Graypn
04-07 1041
前言 因为往Bundle对象中放入Map实际上没有表面上看起来那么容易。 这篇博客是在Eugenio @workingkills Marletti的帮助下完成的。 警告:这是一篇篇幅较长的博客 案例:往Bundle对象放入特殊的Map 假设有这样一个案例:你需要将一个要传递的map附加到Intent对象。这个案例虽然不常见,但是,这种情况也是很有可能发生。
阿川的个人笔记-Android原生项目集成RN中 找不到index.android.bundle
weixin_41569684的博客
04-28 830
在module中新建一个assets目录 然后我们在根目录的命令行执行如下命令: react-native bundle --platform android --dev false --entry-file index.android.js --bundle-output android/app/src/main/assets/index.android.bundle --sou
ReactNative系列之三十三sourcemap错误分析
yeputi_WK的博客
09-18 2993
nodejs 提供了source-map库,方便我们进行异常的分析。我们一起来看一下分析的流程 1.当有JS有异常时,客户端可能会闪退,通过控制台,或后台统计的日志是这样的: 首先源码造个异常: 注意标红的位置,上面的.aa一般就可以指出在某个文件中的具体错误位置。下面的红框则可以通过sourcemap来定位298:963的具体位置。298指的是bundle中的行数,963指的是bundl...
index.android.js打包,React-Native打包index.android.bundle.meta到底是什么?
weixin_34987986的博客
05-28 654
React-native升级到0.30的时候,打包bundle,发现多了一个文件index.android.bundle.meta,不知道是做什么用的,文档里面也没有找到相关的解释,打开发现就是一串编码过后的字符串,从meta的意思:变化来看,感觉是类似md5的文件标识,但是不能确定。问了很多大神,都没有答案,所以试着自己去探索一下。因为之前解析过React-native 源码,所以我事先知道r...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

知柯信安

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值