Мобильная версияReact Native — конфиденциальная информация о проблемах безопасности в дампе памяти — Frida и Fridump ⇐ Android
-
Гость
React Native — конфиденциальная информация о проблемах безопасности в дампе памяти — Frida и Fridump
Я столкнулся с некоторыми проблемами безопасности в моем приложении React Native, особенно для Android. Я использую Fridump, чтобы провести несколько тестов на проникновение и посмотреть, что находится в памяти.
https://frida.re/docs/android/
https://github.com/Nightbringer21/fridump
Я заметил, что в памяти хранится много информации о HTTPS-запросе, который происходит в моем приложении. Сюда входит POST к конечной точке аутентификации, где я использую учетные данные, введенные пользователем в форме входа.
Информация, найденная в файле strings.txt, созданном Fridum, содержит следующую информацию:
network_XMLHttpRequest_https://my-api-.com/authenticate `!;@p https://my-api-.com/authenticate8`i {"Пароль":"значение","Имя пользователя":"значение"} Это всего лишь пример, но в отчете есть много других мест с информацией network_XMLHttpRequest_https.
Некоторые другие инструменты, которые я использую:
[*]Инструментарий Redux [*]Redux сохраняется [*]Axios для выполнения HTTP-запросов [*]Охрана для ведения журнала
Результат отчета Fridum будет таким же, даже если я выйду из приложения, при этом будут удалены и заменены все предыдущие экраны и останется только экран формы входа.
Однако, если я закрою приложение и открою его снова, конфиденциальные данные и информация о запросе https больше не будут отображаться в отчете о памяти, проблема начнется после первого запроса API для входа в систему.
Что я пробовал:
[*]
Просмотрев мое хранилище Redux, я обнаружил, что я не храню пароль в хранилище. Я просто использую в качестве полезной нагрузки в действии, где отправляю промежуточное программное обеспечение, которое использует Axios для выполнения запроса на отправку в конечную точку аутентификации.
[*]
Отключите Sentry, так как я заметил, что он регистрирует данные, связанные с HTTP-запросами.
Есть идеи, как решить эту проблему? ** Кто-нибудь знает инструмент для проверки всех возможных сетевых промежуточных программ, которые может использовать приложение? **
Я столкнулся с некоторыми проблемами безопасности в моем приложении React Native, особенно для Android. Я использую Fridump, чтобы провести несколько тестов на проникновение и посмотреть, что находится в памяти.
https://frida.re/docs/android/
https://github.com/Nightbringer21/fridump
Я заметил, что в памяти хранится много информации о HTTPS-запросе, который происходит в моем приложении. Сюда входит POST к конечной точке аутентификации, где я использую учетные данные, введенные пользователем в форме входа.
Информация, найденная в файле strings.txt, созданном Fridum, содержит следующую информацию:
network_XMLHttpRequest_https://my-api-.com/authenticate `!;@p https://my-api-.com/authenticate8`i {"Пароль":"значение","Имя пользователя":"значение"} Это всего лишь пример, но в отчете есть много других мест с информацией network_XMLHttpRequest_https.
Некоторые другие инструменты, которые я использую:
[*]Инструментарий Redux [*]Redux сохраняется [*]Axios для выполнения HTTP-запросов [*]Охрана для ведения журнала
Результат отчета Fridum будет таким же, даже если я выйду из приложения, при этом будут удалены и заменены все предыдущие экраны и останется только экран формы входа.
Однако, если я закрою приложение и открою его снова, конфиденциальные данные и информация о запросе https больше не будут отображаться в отчете о памяти, проблема начнется после первого запроса API для входа в систему.
Что я пробовал:
[*]
Просмотрев мое хранилище Redux, я обнаружил, что я не храню пароль в хранилище. Я просто использую в качестве полезной нагрузки в действии, где отправляю промежуточное программное обеспечение, которое использует Axios для выполнения запроса на отправку в конечную точку аутентификации.
[*]
Отключите Sentry, так как я заметил, что он регистрирует данные, связанные с HTTP-запросами.
Есть идеи, как решить эту проблему? ** Кто-нибудь знает инструмент для проверки всех возможных сетевых промежуточных программ, которые может использовать приложение? **
-
- Похожие темы
- Ответы
- Просмотры
- Последнее сообщение
