Https Traffic

Вы можете воспроизводить и манипулировать запросами для проверки уязвимостей на стороне сервера.

Во многих случаях наиболее практично настроить системный прокси-сервер на мобильном устройстве, чтобы трафик HTTP(S) перенаправлялся через прокси-сервер перехвата, работающий на вашем хост-компьютере. Отслеживая запросы между клиентом мобильного приложения и серверной частью, вы можете легко сопоставить доступные серверные API и получить представление о протоколе связи. Кроме того, вы можете воспроизводить и манипулировать запросами для проверки на наличие уязвимостей на стороне сервера.

Доступно несколько бесплатных и коммерческих прокси-инструментов. Вот некоторые из самых популярных:

1) Отрыжка Люкс

2) ЗАП ОВАСП

Чтобы использовать прокси-сервер для перехвата, вам нужно запустить его на своем хост-компьютере и настроить мобильное приложение для маршрутизации HTTP(S)-запросов на ваш прокси-сервер. В большинстве случаев достаточно установить общесистемный прокси в сетевых настройках мобильного устройства — если приложение использует стандартные HTTP API или популярные библиотеки, такие как okhttp, оно автоматически будет использовать системные настройки.

Использование прокси прерывает проверку SSL-сертификата, и приложение обычно не может инициировать TLS-соединения. Чтобы обойти эту проблему, вы можете установить сертификат ЦС прокси-сервера на устройство.

Перехват HTTP(S)-трафика