在許多情況下,在移動設備上配置系統代理是最實用的,這樣 HTTP(S) 流量就會通過運行在主機上的攔截代理重定向。通過監控移動應用客戶端和後端之間的請求,您可以輕鬆映射可用的服務器端 API 並深入了解通信協議。此外,您可以重放和操作請求以測試服務器端漏洞。
有幾種免費和商業代理工具可供使用。以下是一些最受歡迎的:
1) 打嗝套件
2) OWASP ZAP
要使用攔截代理,您需要在主機上運行它並配置移動應用程序以將 HTTP(S) 請求路由到您的代理。在大多數情況下,在移動設備的網絡設置中設置系統範圍的代理就足夠了——如果應用程序使用標準 HTTP API 或 okhttp 等流行庫,它將自動使用系統設置。
使用代理會破壞 SSL 證書驗證,並且應用程序通常無法啟動 TLS 連接。要解決此問題,您可以在設備上安裝代理的 CA 證書。
攔截 HTTP(S) 流量