首次Android渗透测试中揭露隐藏的AWS凭证
我们常常在最意想不到的地方遇到最大的挑战——和教训。对我来说,这发生在一个与客户的非正式个人接触中。他们有一个Android应用,话题转到了安全问题上。虽然我的经验在其他领域,但Android渗透测试一直是我"总有一天"要掌握的技能。将此视为催化剂,我决定全身心投入。
我没想到的是,在应用中会发现一个关键的秘密访问密钥,这一发现突显了现代移动应用架构中的一个重要差异。
起点:十字路口
我的第一步是侦察。像任何优秀的研究人员一样,我从HackTricks开始,这是一个用于攻击性安全技术的惊人资源。掌握了一些初步方法后,我拿起了任何Android逆向工程师武器库中的基本工具:apktool。
1
2
3
4
5
6
7
8
9
10
11
12
|
apktool d TestApp.apk
I: Using Apktool 2.11.1 on TestApp.apk with 8 threads
I: Baksmaling classes.dex...
I: Baksmaling classes2.dex...
I: Baksmaling classes3.dex...
I: Baksmaling classes4.dex...
I: Baksmaling classes5.dex...
I: Loading resource table...
I: Decoding file-resources...
I: Loading resource table from file: /Users/******/Library/apktool/framework/1.apk
I: Decoding values */* XMLs...
I: Decoding...
|
创建帐户以阅读完整故事。
作者仅向Medium会员提供此故事。
如果您是Medium的新用户,请创建一个新帐户来阅读此故事。