“??對順F旗下各APP順藤摸瓜分析——順F速運國際版。”

前文《順F速運，你被愛加M坑了》提到，順F速運APP使用愛加密加殼，流量中傳輸內(nèi)容被加密并BASE64編碼了，只是安全性不夠，殼沒有將順豐的加密算法及密鑰保護好。

秉承避免浪費的原則，我們將持續(xù)對順F旗下的一系列APP進行分析。

本次分析順F速運國際版。

01

—

加密情況分析

對APP的分析過程，當(dāng)然首先是安裝，使用，抓包啦。

同樣地，登錄，抓包看看。

使用賬號密碼登錄。

數(shù)據(jù)是HTTP承載的，使用的順豐速運的相同接口，信息完全一樣，看樣子，二者的底層是統(tǒng)一的，只是外觀稍有差異。

對POST體內(nèi)的數(shù)據(jù)，按照順F速運的解密密鑰和算法解密，真就解出了赤裸裸的用戶名密碼：

params={"requstParams":{"password":"aaabbbccc","username":"aaabbbccc@aaa.com"},"method":"user.userLogin"}

兩個APP使用同一接口，參數(shù)相同，密鑰和算法相同，很正常。

不過，還是得給順豐提個建議，密碼在數(shù)據(jù)庫里別明文保存，你這明文傳輸?shù)拿艽a，很明顯是明文保存的節(jié)奏。

密碼應(yīng)該MD5加SALT，這才是正確的姿勢。

02

—

殼呢？

雖然直接解密了順F國際版的加密數(shù)據(jù)，但還是有必要看看它的APK。

經(jīng)過分析，順F國際版沒加殼，這真的讓人無言以對呀。

它的加密算法和密鑰，赤裸裸地暴露在代碼里。

仍然是這個樣子：

對分析APP感興趣嗎？聯(lián)系我哦。

長按進行關(guān)注。