Https Traffic

U kunt verzoeken opnieuw afspelen en manipuleren om te testen op kwetsbaarheden aan de serverzijde.

In veel gevallen is het het meest praktisch om een ​​systeemproxy op het mobiele apparaat te configureren, zodat HTTP(S)-verkeer wordt omgeleid via een onderscheppingsproxy die op uw hostcomputer draait. Door de aanvragen tussen de mobiele app-client en de backend te monitoren, kun je eenvoudig de beschikbare server-side API's in kaart brengen en inzicht krijgen in het communicatieprotocol. Bovendien kunt u verzoeken opnieuw afspelen en manipuleren om te testen op kwetsbaarheden aan de serverzijde.

Er zijn verschillende gratis en commerciële proxy-tools beschikbaar. Hier zijn enkele van de meest populaire:

1) Burp-suite

2) OWASP ZAP

Om de onderscheppingsproxy te gebruiken, moet u deze op uw hostcomputer uitvoeren en de mobiele app configureren om HTTP(S)-verzoeken naar uw proxy te routeren. In de meeste gevallen is het voldoende om een ​​systeembrede proxy in te stellen in de netwerkinstellingen van het mobiele apparaat - als de app standaard HTTP-API's of populaire bibliotheken zoals okhttp gebruikt, zal deze automatisch de systeeminstellingen gebruiken.

Het gebruik van een proxy verbreekt de SSL-certificaatverificatie en de app zal meestal geen TLS-verbindingen tot stand brengen. U kunt dit probleem omzeilen door het CA-certificaat van uw proxy op het apparaat te installeren.

HTTP(S)-verkeer onderscheppen