【网络安全 | 漏洞挖掘】硬编码凭据泄露实现支付系统账户接管
未经许可,不得转载。
文章目录
-
- 前言
- 在APK中寻找硬编码凭据+账户接管
- 在APP流程中寻找硬编码凭据+账户接管
- 总结
前言
硬编码凭据是指直接嵌入应用程序源代码中的敏感信息,例如 API 密钥、密钥、用户名或密码。这些凭据通常为了开发便捷而添加,但往往在发布到生产代码或应用路径后被忽视,从而引发严重的安全问题。
本文将分享我的方法论,讲解如何发现并利用硬编码凭据。通过两个真实案例,我将展示硬编码凭据如何导致公司支付系统被接管,以及支持用户聊天账户的完全接管。
在APK中寻找硬编码凭据+账户接管
步骤:
1、下载目标应用程序的 APK 文件。
2、使用反编译工具(如 jadx)解析 APK 文件,并通过 jadx-gui 查看源代码。
3、查找常量部分,手动检视潜在的 API 密钥或密钥值,直到找到相关凭据。
例如,我发现以下凭据常量:
- Secret Key:用于 JWT 签名的密钥。
- Secret ID:JWT 生成时使用的 Key ID (KID)。
<