In veel gevallen is het het meest praktisch om een systeemproxy op het mobiele apparaat te configureren, zodat HTTP(S)-verkeer wordt omgeleid via een onderscheppingsproxy die op uw hostcomputer draait. Door de aanvragen tussen de mobiele app-client en de backend te monitoren, kun je eenvoudig de beschikbare server-side API's in kaart brengen en inzicht krijgen in het communicatieprotocol. Bovendien kunt u verzoeken opnieuw afspelen en manipuleren om te testen op kwetsbaarheden aan de serverzijde.
Er zijn verschillende gratis en commerciële proxy-tools beschikbaar. Hier zijn enkele van de meest populaire:
1) Burp-suite
2) OWASP ZAP
Om de onderscheppingsproxy te gebruiken, moet u deze op uw hostcomputer uitvoeren en de mobiele app configureren om HTTP(S)-verzoeken naar uw proxy te routeren. In de meeste gevallen is het voldoende om een systeembrede proxy in te stellen in de netwerkinstellingen van het mobiele apparaat - als de app standaard HTTP-API's of populaire bibliotheken zoals okhttp gebruikt, zal deze automatisch de systeeminstellingen gebruiken.
Het gebruik van een proxy verbreekt de SSL-certificaatverificatie en de app zal meestal geen TLS-verbindingen tot stand brengen. U kunt dit probleem omzeilen door het CA-certificaat van uw proxy op het apparaat te installeren.
HTTP(S)-verkeer onderscheppen