В много случаи е най-практично да конфигурирате системно прокси на мобилното устройство, така че HTTP(S) трафикът да се пренасочва през прокси за прихващане, работещ на вашия хост компютър. Като наблюдавате заявките между клиента на мобилното приложение и бекенда, можете лесно да картографирате наличните API от страна на сървъра и да получите представа за комуникационния протокол. Освен това можете да възпроизвеждате и манипулирате заявки, за да тествате за уязвимости от страна на сървъра.
Налични са няколко безплатни и комерсиални прокси инструменти. Ето някои от най-популярните:
1) Burp Suite
2) OWASP ZAP
За да използвате прокси сървъра за прихващане, ще трябва да го стартирате на вашия хост компютър и да конфигурирате мобилното приложение да насочва HTTP(S) заявки към вашия прокси сървър. В повечето случаи е достатъчно да зададете прокси за цялата система в мрежовите настройки на мобилното устройство – ако приложението използва стандартни HTTP API или популярни библиотеки като okhttp, то автоматично ще използва системните настройки.
Използването на прокси прекъсва проверката на SSL сертификат и приложението обикновено не успява да инициира TLS връзки. За да заобиколите този проблем, можете да инсталирате CA сертификата на вашия прокси на устройството.
Прихващане на HTTP(S) трафик
Актуализирано на
6.05.2022 г.