web安全团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 网络安全 > web安全 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

Android APP静态分析存储不安全和密码的硬编码泄漏，导致登录短信管理系统并劫持短信接口配置

文章来源：重庆网络安全围观次数：

分享到:

摘要：Android APP静态分析存储不安全和密码的硬编码泄漏，导致登录短信管理系统并劫持短信接口配置。

Android APP静态分析存储不安全和密码的硬编码泄漏，导致登录短信管理系统并劫持短信接口配置。

由于测试项目的范围涉及相关制造商的Android应用程序，因此将该应用程序下载到了Android手机上，并取出其APK文件进行静态分析。

获取APK文件后，我们需要对其进行反编译以在其中找到Java类文件进行分析。

我们将目标应用程序的APK文件放在另一个单独的文件夹中，将其后缀从.apk更改为.zip，然后解压该zip文件。之后，我们可以看到一些xml文档，路径文件，模板资源文件等。这些文件中的目标是classes.dex文件。解

压后通常会找到一个或多个classes.dex文件。接下来，我们使用dex2jar通过以下命令将dex文件转换为Java文件：

dex2jar classes.dex

如果此命令不起作用，则可以使用另一个版本的dex2jar命令：

d2j-dex2jar classes.dex

运行上述命令后，该文件夹中将生成一个Java文件，例如classes_dex2jar.jar。有了这个文件，我们将使用另一个有用的工具对其进行反编译。在这里使用JD- GUI。使用它打开生成的jar文件后，我们可以看到很多Java资源文件，并且可以保存和读取这些不同的资源文件。

代码分析

完成上述工作后，我们可以仔细分析Android APP中的代码并返回到我们的目标APP。根据检查列表分析，很快找到了一个名为Constant.java的文件，该文件位于应用程序的SMS路径中，包含一些分散的信息，例如Username、Loacation、Password其他硬编码服务信息。一般情况如下：