无线安全团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 网络安全 > 无线安全 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

根据APK文件来获取React Native JavaScript，分析API及敏感信息

文章来源：重庆网络安全围观次数：

分享到:

摘要：React Native是一个移动应用程序框架。由于该框架允许开发人员使用React和本机平台功能，因此当前基于该框架开发了许多Android和iOS应用程序。

React Native是一个移动应用程序框架。由于该框架允许开发人员使用React和本机平台功能，因此当前基于该框架开发了许多Android和iOS应用程序。

在进行常规侦察时，我们通常着重于尽可能扩大攻击面。因此，我们需要研究为移动平台开发的各种应用程序，以便找到更多的API或其他有趣的东西，例如API密钥之类的敏感信息。

在本文中，我们将介绍如何基于APK文件获取React Native JavaScript，以及如何基于此信息分析API和其他敏感信息。

一般来说，当对Android应用程序进行反向分析时，我们需要使用dex2jar来反编译APK文件，然后使用JD-GUI进行下一个分析。然后，在处理React Native应用程序时，如果应用程序具有本机代码，将非常方便，但是在大多数情况下，应用程序的核心逻辑是使用React JavaScript来实现的，这部分代码可以在没有dex2jar Case的情况下使用。

请注意：dex2jar通过将Java字节码转换为Dalvik字节码来工作。因此，我们不能保证所有输出都是有效的。这时，我们需要使用Smali工具来分析Dalvik字节码。

从React Native APK获取JavaSript

在此示例中，我们将从以下React Native应用程序中提取JavaScript代码：

com.react_native_examples

下载以上APK文件后，使用以下命令将其解压缩到新文件夹：

unzip React\ Native\ Examples_v1.0_apkpure.com.apk -d ReactNative

切换到新创建的“ ReactNative”目录并找到“ assets”目录。在此文件夹中，找到一个名为“ index.android.bundle”的文件，该文件将包含所有React JavaScript代码。

映射文件

如果可以找到名为“ index.android.bundle.map”的文件，则可以直接分析源代码。映射文件包含源代码映射关系，可以帮助我们映射代码中的标识符。如果要反向分析的React Native应用程序的assets文件夹中有此映射文件，则可以在此目录中创建一个名为“ index.html”的文件以使用此映射文件“ index.html”。文件如下：

本文由重庆网络安全整理发布,转载请保留出处，内容部分来自于互联网，如有侵权请联系我们删除。

上一篇：借助适当的DevSecOps和GitHub事件API扫描，降低GitHub帐户泄露敏感信息的风险
下一篇：重新对iOS应用程序签名，生成IPA文件，部署到测试设备