未经许可,不得转载。
文章目录
- 前言
- 在APK中寻找硬编码凭据+账户接管
- 在APP流程中寻找硬编码凭据+账户接管
- 总结
前言
硬编码凭据是指直接嵌入应用程序源代码中的敏感信息,例如 API 密钥、密钥、用户名或密码。这些凭据通常为了开发便捷而添加,但往往在发布到生产代码或应用路径后被忽视,从而引发严重的安全问题。
本文将分享我的方法论,讲解如何发现并利用硬编码凭据。通过两个真实案例,我将展示硬编码凭据如何导致公司支付系统被接管,以及支持用户聊天账户的完全接管。
在APK中寻找硬编码凭据+账户接管
步骤:
1、下载目标应用程序的 APK 文件。
2、使用反编译工具(如 jadx)解析 APK 文件,并通过 jadx-gui 查看源代码。
3、查找常量部分,手动检视潜在的 API 密钥或密钥值,直到找到相关凭据。
例如,我发现以下凭据常量:
- Secret Key:用于 JWT 签名的密钥。
- Secret ID:JWT 生成时使用的 Key ID (KID)。
<
![[人工智能] 结合最新技术:Transformer、CLIP与边缘计算在提高人脸识别准确率中的应用](https://i-blog.csdnimg.cn/direct/f26b21789a0a4d319280cb84f5b37472.png)
