对某数藏app逆向安全分析

目录

前言

分析

加密参数分析

webview调试

1.webviewdebughook调试

2.webviewpp调试

源码静态分析

x-request-id

x-token

sign:

web端调试,逆向

uniapp调试分析

流程分析

尝试主动调用

广告(不喜忽略)

结语


前言

昨晚我群里有个老哥在问移动端滑块怎么分析

因为大多app端的滑块都是加载在webview上的

我当时突然就想到才没几天搞定的一个app,也有webview部分的操作,因为是用uni打包的,所以实际走的还是webview。而uni相关的其实之前发过一篇  对uni-app开发的某app逆向分析

不过今天这个app有点不同,我感觉是值得记录的,所以准备再写一篇有关这个的

分析

首先,打开这个app,抓包,左边就是想要的数据,右边就是抓到的包

然后加密参数有几个


x-request-id
x-token
sign

然后返回有加密

加密参数分析

首先就是对app一顿分析

搜一个sign:

一开始我并不知道这个app是uni-app打包的,一搜,发现最后一个,这个assets/apps/xxxxx/app-services.js有点可疑,因为它也可能并没有用到这部分的代码。

为了进一步确认,用android studio自带的devices monitor工具发现果然是webview,那基本就确定是uni打包了。

插一句,我用的android studio 版本是4.1.1,然后你需要装jdk1.8,然后到sdk tools里,把相关的安装下,然后如果你的sdk目录有这个就行了,不然启动报错。

详细的百度即可

webview调试

1.webviewdebughook调试

那么,既然是webview,那就准备用webview调试一波,也就是文章开头我群里的大佬 @qxp 说的路子。

当然这个部分 @孤雁逐云 也发过相关的文章,这里我就不详细解释了,就大概的展示下

用xp插件,对该app开启webviewdebugg:

https://github.com/feix760/WebViewDebugHook

然后用chrome浏览器打开这个网址(第一次打开要开下科学软件,打开了就可以把科学关了)

chrome://inspect/#devices

静等一会儿,这个加载有点慢,等出现有设备就行了。然后点【inspect】,就会出来一个弹窗,类似web页面的调试工具,然后就是正常的分析了。以前用它分析过某宝 app端的滑块:

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值