我如何为我的关键发现获得7000美元的错误赏金。

华盟原创文章投稿奖励计划

文章来源:EDI安全

01

背景

嗨,这是我关于Android Hunting的第二篇文章,我将分享我的发现,我们如何才能在APK文件中找到最关键的信息,我看到大多数猎人喜欢使用Burp Suite进行动态测试,但我想建议您一些事情,有时我们必须专注于静态测试以发现更好的缺陷。

为了使撰写的内容有效且省时,我将使其尽可能短且内容丰富。

02

概要

该程序控制一米大约是一个新闻机构和他们的Web应用程序和他们的移动应用程序。我设法获得了本质上非常敏感的PII数据,包括他们的银行详细信息,例如银行交易信息,API密钥以及更多存储在excel文件中的信息。我通过公司的管理面板通过静态分析在其android应用程序中找到了这些excel文件。

03

攻击步骤

1:首先,我下载了目标apk文件。

2:使用Dex2jar工具将apk更改为jar。

3:在JD-Gui中打开jar文件

4:然后,我检查了com / target / global / Constants.java文件,并从此处获取了管理URL,并且在身份验证后,管理面板具有默认凭据admin:admin。我使用dirbuster进行内容发现,并得到了以下文件:具有大量信息和一些excel文件,包括银行详细信息。

我如何为我的关键发现获得7000美元的错误赏金。

在管理面板中通过身份验证后通过dirbuster获取文件

这是第一个具有用户详细信息的excel文件。

这些都是我可以共享的,其余的足够敏感,我无法共享。

04

www.idc126.com

 END

几天后,我从公司获得了7000美元的PII详细信息赏金。

本文原创,作者:张,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/273875.html

发表评论