Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.
alert(apikey) в случаях совпадения. У расширения есть настройки, которые включают автоматические get запросы для файлов .git или .env на сайте.
> И как мне самому узнать, какая утилита лучше всего ищет секреты?
Вот вам файл со специально забытыми api ключами на github.com/sourcegraph-community/no-secrets/blob/main/secret-examples.md
> Нашёл ключ что мне делать?
Тестировать и проверять на действительность используя этот замечательный репозиторий github.com/streaak/keyhacks
> Когда в github добавят нормальный regex?
Уже добавили, вот поиск по всему github используя Regex Facebook key: cs.github.com/?scopeName=All+repos&scope=&q=%2FEAACEdEose0cBA%5B0-9A-Za-z%5D%2B%2F
Но вам придётся запросить у github инвайт в их beta =)ContentProvider.openFile().
Вот ссылка на оригинальный пост, но для тех, у кого Твиттер закрыт и нет VPN немного пояснений и описаний.
Суть в том, что использую небольшой трюк можно получить приватную информацию через контент провайдер, если вызвать его не напрямую, а ContentProvider.openFile() через IActivityManager.openContentUri(). Он проверит права доступа, но затем проксирует вызов из своего контекста, а именно к Binder.getCallingUid() == 1000, и, так как это UID системы, то ей по умолчанию предоставлены все права.
Что тут сказать, аплодирую стоя 👍👍
#android #binder #contentProvider #oversecured