Https Traffic

Sa maraming pagkakataon, pinakapraktikal na mag-configure ng system proxy sa mobile device, upang ang trapiko ng HTTP(S) ay ma-redirect sa pamamagitan ng interception proxy na tumatakbo sa iyong host computer. Sa pamamagitan ng pagsubaybay sa mga kahilingan sa pagitan ng client ng mobile app at ng backend, madali mong maimapa ang mga available na server-side API at makakuha ng insight sa protocol ng komunikasyon. Bilang karagdagan, maaari mong i-replay at manipulahin ang mga kahilingan upang subukan ang mga kahinaan sa panig ng server.

Available ang ilang libre at komersyal na proxy tool. Narito ang ilan sa mga pinakasikat:

1) Burp Suite
2) OWASP ZAP

Upang magamit ang interception proxy, kakailanganin mong patakbuhin ito sa iyong host computer at i-configure ang mobile app upang iruta ang mga kahilingan ng HTTP(S) sa iyong proxy. Sa karamihan ng mga kaso, sapat na upang magtakda ng proxy sa buong system sa mga setting ng network ng mobile device - kung gumagamit ang app ng mga karaniwang HTTP API o mga sikat na library gaya ng okhttp, awtomatiko nitong gagamitin ang mga setting ng system.

Ang paggamit ng proxy ay sumisira sa pag-verify ng SSL certificate at kadalasang mabibigo ang app na simulan ang mga koneksyon sa TLS. Upang malutas ang isyung ito, maaari mong i-install ang CA certificate ng iyong proxy sa device.

Hinaharang ang HTTP(S) Traffic