Android APP静态分析存储不安全和密码的硬编码泄漏,导致登录短信管理系统并劫持短信接口配置
摘要:Android APP静态分析存储不安全和密码的硬编码泄漏,导致登录短信管理系统并劫持短信接口配置。
Android APP静态分析存储不安全和密码的硬编码泄漏,导致登录短信管理系统并劫持短信接口配置。
由于测试项目的范围涉及相关制造商的Android应用程序,因此将该应用程序下载到了Android手机上,并取出其APK文件进行静态分析。
获取APK文件后,我们需要对其进行反编译以在其中找到Java类文件进行分析。
我们将目标应用程序的APK文件放在另一个单独的文件夹中,将其后缀从.apk更改为.zip,然后解压该zip文件。之后,我们可以看到一些xml文档,路径文件,模板资源文件等。这些文件中的目标是classes.dex文件。解
压后通常会找到一个或多个classes.dex文件。接下来,我们使用dex2jar通过以下命令将dex文件转换为Java文件:
dex2jar classes.dex
如果此命令不起作用,则可以使用另一个版本的dex2jar命令:
d2j-dex2jar classes.dex
运行上述命令后,该文件夹中将生成一个Java文件,例如classes_dex2jar.jar。有了这个文件,我们将使用另一个有用的工具对其进行反编译。在这里使用JD- GUI。使用它打开生成的jar文件后,我们可以看到很多Java资源文件,并且可以保存和读取这些不同的资源文件。
代码分析
完成上述工作后,我们可以仔细分析Android APP中的代码并返回到我们的目标APP。根据检查列表分析,很快找到了一个名为Constant.java的文件,该文件位于应用程序的SMS路径中,包含一些分散的信息,例如Username、Loacation、Password其他硬编码服务信息。一般情况如下:
进一步分析发现,该APP使用了reson8公司的即时通讯平台进行商业推广,浏览reson8公司网站,发现它具有用户登录界面,因此认为该用户名 上述静态分析中泄露的Username和Password直接在这里登录查看。输入并提交后,立即进入目标APP公司的SMS发送管理系统:
该管理系统是一个SMS API网关,通过它可以实现管理操作,例如以SMS为目标的发送设置,营销升级和充值,更重要的是可以下载用户的手机号码。
总结一下
在对APP进行动态分析和其他分析之前,建议对其进行一些静态分析,可以根据其自己的列表进行分析,从中可以获得一些意料之外的零散信息。对于APP应用程序公司,重要的是避免在APP中存储一些与密码凭据有关的信息,即使有必要,也需要一些适当的加密处理。
相关热词搜索:Android APP 静态分析 硬编码泄漏 登录短信管理系统 劫持短信 重庆网络安全公司
上一篇:执行分段免杀,使用Xor加密具有不同密钥的弹出cmd程序
下一篇:AuthMatrix:BurpSuite工具,用于Web应用程序和服务的身份验证和安全性测试
热门资讯

人机验证(Captcha)绕过方法:使用Chrome开发者工具在目标网站登录页面上执行简单的元素编辑,以实现Captcha绕过
牛创网络: " 人机身份验证(Captcha)通常显示在网站的注册,登录名和密码重置页面上。 以下是目标网站在登录页面中排列的验证码机制。 从上图可以
2020-01-26 12:44:09 )5621( 亮了
自动发现IDOR(越权)漏洞的方法:使用BurpSuite中的Autozie和Autorepeater插件来检测和识别IDOR漏洞,而无需手动更改每个请求的参数
牛创网络: "自动发现IDOR(越权)漏洞的方法:使用BurpSuite中的Autozie和Autorepeater插件来检测和识别IDOR漏洞,而无需手动更改每个请求的参数
2020-01-30 14:04:47 )3957( 亮了
Grafana CVE-2020-13379漏洞分析:重定向和URL参数注入漏洞的综合利用可以在任何Grafana产品实例中实现未经授权的服务器端请求伪造攻击SSRF
牛创网络: "在Grafana产品实例中,综合利用重定向和URL参数注入漏洞可以实现未经授权的服务器端请求伪造攻击(SSRF)。该漏洞影响Grafana 3 0 1至7 0 1版本。
2020-08-12 14:26:44 )2612( 亮了
Nginx反向代理配置及反向代理泛目录,目录,全站方法
牛创网络: "使用nginx代理dan(sui)是http响应消息写入服务地址或Web绝对路径的情况。 写一个死的服务地址是很少见的,但它偶尔也会发生。 最棘手的是写入web绝对路径,特别是如果绝对路径没有公共前缀
2019-06-17 10:08:58 )1540( 亮了
fortify sca自定义代码安全扫描工具扫描规则(源代码编写、规则定义和扫描结果展示)
牛创网络: "一般安全问题(例如代码注入漏洞),当前fortify sca规则具有很多误报,可通过规则优化来减少误报。自带的扫描规则不能检测到这些问题。 需要自定义扫描规则,合规性角度展示安全风险。
2020-02-12 10:49:07 )1314( 亮了
微擎安装使用技巧-微擎安装的时候页面显示空白是怎么回事?
牛创网络: "我们在公众号开发中,有时候会用到微擎,那我们来看一下微擎安装的时候页面显示空白是怎么回事吧
2019-06-08 15:34:16 )1161( 亮了
整理几款2020年流行的漏洞扫描工具
牛创网络: "漏洞扫描器就是确保可以及时准确地检测信息平台基础架构的安全性,确保业务的平稳发展,业务的高效快速发展以及公司,企业和国家 地区的所有信息资产的维护安全。
2020-08-05 14:36:26 )944( 亮了
前端开发技术之ES6快速入门(一)
牛创网络: "说了这么多,我们现在就说下“三个点”的应用把,我们知道函数的参数是一个集合(arguments)并不是一个真正的数组。那么我们怎么才能在这个arguments中加一项呢??
2019-04-27 23:06:32 )896( 亮了
CVE-2019-12181 Serv-U FTP Server 本地提权漏洞(Metasploit)利用工具
牛创网络: "CVE-2019-12181 Serv-U FTP Server 本地提权漏洞(Metasploit)利用工具源码
2019-07-09 10:11:00 )861( 亮了
Sudo漏洞(CVE-2019-18634):在某些配置下,它可能允许低特权用户或恶意程序在Linux或macOS系统上以root用户身份执行命令。
牛创网络: "Sudo是常用的实用程序之一,预装在macOS设备和几乎所有UNIX或Linux操作系统上的重要命令,为用户提供了不同的特权,可在不切换操作环境的情况下运行应用程序或命令。
2020-02-05 11:49:49 )852( 亮了