Https Traffic

Sie können Anfragen wiedergeben und manipulieren, um auf serverseitige Schwachstellen zu testen.

In vielen Fällen ist es am praktischsten, einen System-Proxy auf dem Mobilgerät zu konfigurieren, sodass HTTP(S)-Datenverkehr über einen Abfang-Proxy umgeleitet wird, der auf Ihrem Host-Computer ausgeführt wird. Indem Sie die Anfragen zwischen dem mobilen App-Client und dem Backend überwachen, können Sie die verfügbaren serverseitigen APIs einfach abbilden und Einblick in das Kommunikationsprotokoll gewinnen. Darüber hinaus können Sie Anforderungen wiedergeben und manipulieren, um auf serverseitige Schwachstellen zu testen.

Es sind mehrere kostenlose und kommerzielle Proxy-Tools verfügbar. Hier sind einige der beliebtesten:

1) Rülpser-Suite

2) OWASP-ZAP

Um den Interception-Proxy zu verwenden, müssen Sie ihn auf Ihrem Hostcomputer ausführen und die mobile App so konfigurieren, dass HTTP(S)-Anforderungen an Ihren Proxy weitergeleitet werden. In den meisten Fällen reicht es aus, einen systemweiten Proxy in den Netzwerkeinstellungen des Mobilgeräts festzulegen – verwendet die App Standard-HTTP-APIs oder gängige Bibliotheken wie okhttp, verwendet sie automatisch die Systemeinstellungen.

Die Verwendung eines Proxys unterbricht die SSL-Zertifikatsüberprüfung und die App kann normalerweise keine TLS-Verbindungen initiieren. Um dieses Problem zu umgehen, können Sie das CA-Zertifikat Ihres Proxys auf dem Gerät installieren.

Abfangen von HTTP(S)-Verkehr