Jadx

APK-dekompilering + en systematisk grep-checklista för hemligheter, svag kryptering, SQLi och WebView-hål.

av BrownFineSecurity · BrownFineSecurity/iothackbot

Fungerar med konfiguration ★ 9.6/10

Jadx — APK-dekompilering + en systematisk grep-checklista för hemligheter, svag kryptering, SQLi och WebView-hål.

Vad den gör

Slår in jadx DEX-till-Java-dekompilatorn med ett dokumenterat CLI/GUI-arbetsflöde och en säkerhetsanalys-checklista som täcker hårdkodade hemligheter, svag kryptering, SQL-injektion, osäker lagring och WebView-sårbarheter. Triggas när användaren vill dekompilera en APK, läsa applogik som Java, eller jaga sårbarheter och hårdkodade inloggningsuppgifter i en Android-app.

Testrapport

Planterade 6 realistiska sårbarheter (hårdkodad API-nyckel/lösenord, MD5-hashning, sträng-konkatenerad SQL rawQuery, JS-aktiverad WebView med addJavascriptInterface, MODE_WORLD_READABLE-inställningar) i ett fejkat dekompilerat träd: en ad hoc-baslinjegrep fångade bara 2, skillens dokumenterade Workflow-1-checklista fångade alla 6. Notera: inga filer refereras från själva SKILL.md, men jadx-binären + ett JRE krävs och medföljer inte -- inget av dem fanns tillgängligt i denna sandbox, så själva dekompileringen (till skillnad från grep-arbetsflödet efter dekompilering) testades inte.

Testad: 2026-07-13 · Claude Code 2.x (agent harness)

Installation

git clone https://github.com/BrownFineSecurity/iothackbot
cd iothackbot
mkdir -p ~/.claude/skills
cp -r skills/jadx ~/.claude/skills/jadx

Kommandon och exempelprompter

  • /jadxAPK-dekompilering + en systematisk grep-checklista för hemligheter, svag kryptering, SQLi och WebView-hål.

Skills triggas av vanliga förfrågningar — inga kommandon att memorera. Efter installationen aktiverar prompter som dessa skillen (på engelska):

  • Decompile this APK and check for hardcoded secrets and weak crypto
  • Pull the Java source from this Android app and look for SQL injection
  • Scan this app's decompiled code for WebView and insecure storage holes