顺F速运国际版,你的密码漏点了

  对顺F旗下各APP顺藤摸瓜分析——顺F速运国际版


前文《顺F速运,你被爱加M坑了》提到,顺F速运APP使用爱加密加壳,流量中传输内容被加密并BASE64编码了,只是安全性不够,壳没有将顺丰的加密算法及密钥保护好。


秉承避免浪费的原则,我们将持续对顺F旗下的一系列APP进行分析


本次分析顺F速运国际版。


01

加密情况分析


对APP的分析过程,当然首先是安装,使用,抓包啦。


640?wx_fmt=jpeg


同样地,登录,抓包看看。


640?wx_fmt=jpeg


使用账号密码登录。


640?wx_fmt=png

数据是HTTP承载的,使用的顺丰速运的相同接口,信息完全一样,看样子,二者的底层是统一的,只是外观稍有差异。


对POST体内的数据,按照顺F速运的解密密钥和算法解密,真就解出了赤裸裸的用户名密码:

params={"requstParams":{"password":"aaabbbccc","username":"aaabbbccc@aaa.com"},"method":"user.userLogin"}


两个APP使用同一接口,参数相同,密钥和算法相同,很正常。


不过,还是得给顺丰提个建议,密码在数据库里别明文保存,你这明文传输的密码,很明显是明文保存的节奏。


密码应该MD5加SALT,这才是正确的姿势。



02


壳呢?


虽然直接解密了顺F国际版的加密数据,但还是有必要看看它的APK。

经过分析,顺F国际版没加壳,这真的让人无言以对呀。


它的加密算法和密钥,赤裸裸地暴露在代码里。


仍然是这个样子:

640?wx_fmt=png



对分析APP感兴趣吗?联系我哦。

640?wx_fmt=jpeg

长按进行关注。





posted @ 2018-06-11 08:10  一二一二一  阅读(256)  评论(0编辑  收藏  举报