Shikata Ga Nai

Private? There is no such things.

Contentful Access Token Disclosure in Android APKを訳してみた

Hello there, ('ω')ノ

 

Android APK でのコンテンツ アクセス トークンの開示を。

 

脆弱性:

 情報公開

 

記事:

 https://medium.com/@cyberali/contentful-access-token-disclosure-in-android-apk-ace5f7bdf98

 

今回は、Android APK Pen のテストに関する記事で。

 

Android アプリケーションをテストする方が面白いと思い。

だから、単にAPKをダウンロードし。

Android の動的テストには構成に時間がかかるため。

静的テスト、コード レビューから始め。

そうしているうちに、apkname/BuildConfig にファイルが見つかり。

興味深いキーと値のペアがいくつかあったので、開いてレビューを開始し。

すべての値を注意深く観察し続けると。

CONTENTFUL_ACCESS_TOKEN と CONTENTFUL_SPACE の 2 つのキーが表示されて。

 

 

グーグルですでに開示されたレポートを検索しましたが。

残念ながら見つけることができず。

そこで、contentful.com のドキュメントを読むことに。

 

https://www.contentful.com/

 

Contentful は基本的に、コンテンツを組み立てて配信を高速化するために使用され。

そのため、コンテンツを取得するには、正当なユーザであることを示すために。

自分自身を認証する必要があり。

現在、CURL コマンドを介して認証リクエストを送信する方法は 2 つあり。

 

クエリ パラメータとして:
curl -v https://cdn.contentful.com/spaces/cfexampleapi/entries?access_token=b4c0n73n7fu1

 

ヘッダとして:
curl -v https://cdn.contentful.com/spaces/cfexampleapi/entries -H ‘Authorization: Bearer b4c0n73n7fu1’

 

「クエリ パラメータ」オプションを使用して、コマンドを Linux 端末に。

コピー/貼り付け、必要なパラメータを変更し、ENTERを押し。

contentful に保存されているターゲット情報を受け取って。

 

 

結論:

アクセス トークン、API キー、または侵入テストを行うときに。

見つけた機密性の高いドキュメントのドキュメントを常に読むと。

それはあなたに搾取の新しい方法を提供して。

エクスプロイトがドキュメントに書かれている可能性があって。

 

Best regards, (^^ゞ