我如何为我的关键发现获得7000美元的错误赏金。

文章来源：EDI安全 01 背景 嗨，这是我关于Android Hunting的第二篇文章，我将分享我的发现，我们如何才能在APK文件中找到最关键的信息，我看到大多数猎人喜欢使用Burp Suite进行动态测试，但我想建议您一些事情，有时我们必须专注于静态测试以发现更好的缺陷。 为了使撰写的内容有效且省时，我将使其尽可能短且内容丰富。 02 概要 该程序控制一米大约是一个新闻机构和他们的Web应用程序和他们的移动应用程序。我设法获得了本质上非常敏感的PII数据，包括他们的银行详细信息，例如银行交易信息，API密钥以及更多存储在excel文件中的信息。我通过公司的管理面板通过静态分析在其android应用程序中找到了这些excel文件。 03 攻击步骤 1：首先，我下载了目标apk文件。 2：使用Dex2jar工具将apk更改为jar。 3：在JD-Gui中打开jar文件 4：然后，我检查了com / target / global / Constants.java文件，并从此处获取了管理URL，并且在身份验证后，管理面板具有默认凭据admin：admin。我使用dirbuster进行内容发现，并得到了以下文件：具有大量信息和一些excel文件，包括银行详细信息。 在管理面板中通过身份验证后通过dirbuster获取文件 这是第一个具有用户详细信息的excel文件。 这些都是我可以共享的，其余的足够敏感，我无法共享。 04  END 几天后，我从公司获得了7000美元的PII详细信息赏金。