顺F速运国际版,你的密码漏点了
“ 对顺F旗下各APP顺藤摸瓜分析——顺F速运国际版。”
前文《顺F速运,你被爱加M坑了》提到,顺F速运APP使用爱加密加壳,流量中传输内容被加密并BASE64编码了,只是安全性不够,壳没有将顺丰的加密算法及密钥保护好。
秉承避免浪费的原则,我们将持续对顺F旗下的一系列APP进行分析。
本次分析顺F速运国际版。
01
—
加密情况分析
对APP的分析过程,当然首先是安装,使用,抓包啦。
同样地,登录,抓包看看。
使用账号密码登录。
数据是HTTP承载的,使用的顺丰速运的相同接口,信息完全一样,看样子,二者的底层是统一的,只是外观稍有差异。
对POST体内的数据,按照顺F速运的解密密钥和算法解密,真就解出了赤裸裸的用户名密码:
params={"requstParams":{"password":"aaabbbccc","username":"aaabbbccc@aaa.com"},"method":"user.userLogin"}
两个APP使用同一接口,参数相同,密钥和算法相同,很正常。
不过,还是得给顺丰提个建议,密码在数据库里别明文保存,你这明文传输的密码,很明显是明文保存的节奏。
密码应该MD5加SALT,这才是正确的姿势。
02
—
壳呢?
虽然直接解密了顺F国际版的加密数据,但还是有必要看看它的APK。
经过分析,顺F国际版没加壳,这真的让人无言以对呀。
它的加密算法和密钥,赤裸裸地暴露在代码里。
仍然是这个样子:
对分析APP感兴趣吗?联系我哦。
长按进行关注。