AM
Всё сводится к генерации дебажного сертификата от перехватывающей тулы и установки её как доверенной в систему / выключения пиннига сертификатов в своей софтине
Size: a a a
2020 December 25
AM
Дальше ссл терминируется на перехватчике, он снимает логи / меняет трафик, а дальше заворачивает в новое ссл-соединение и отдаёт конечной точке.
AM
Мне бы для андроида...
Не понял, а чем бурп/вайршарк не подходит для анализа трафика с мобильного? Заворачиваете в настройках вайфая свой комп как проксю и вперёд.
с#
Не понял, а чем бурп/вайршарк не подходит для анализа трафика с мобильного? Заворачиваете в настройках вайфая свой комп как проксю и вперёд.
+ fiddler
VP
Не понял, а чем бурп/вайршарк не подходит для анализа трафика с мобильного? Заворачиваете в настройках вайфая свой комп как проксю и вперёд.
А там не certificate pinning у каждого второго, или я переоцениваю стремление мобильщиков к безопасности?
AM
А там не certificate pinning у каждого второго, или я переоцениваю стремление мобильщиков к безопасности?
А аффтар не указал, что ему нужно чужой трафик анализировать, потому я рассказываю, что со своим делать.
AM
Что делать с чужими, пусть идёт а тырнетах читать.
M
А там не certificate pinning у каждого второго, или я переоцениваю стремление мобильщиков к безопасности?
а такое как делается?
M
Не понял, а чем бурп/вайршарк не подходит для анализа трафика с мобильного? Заворачиваете в настройках вайфая свой комп как проксю и вперёд.
ну там же нужно сертификат установить, куда же его устанавливать?
AM
ну там же нужно сертификат установить, куда же его устанавливать?
Если в твоём приложении пиннинга нет, но оно не принимает самоподписанные серты, то в системное хранилище. Если пиннинг есть, то ты и без меня знаешь.
VP
ну там же нужно сертификат установить, куда же его устанавливать?
Говорят, в гугле можно найти
M
Говорят, в гугле можно найти
я просто не понимаю сам принцип. Если это приложуха, разве не в телефон сертификат?
M
Если в твоём приложении пиннинга нет, но оно не принимает самоподписанные серты, то в системное хранилище. Если пиннинг есть, то ты и без меня знаешь.
я лично впервые столкнулся с такой темой
VP
я просто не понимаю сам принцип. Если это приложуха, разве не в телефон сертификат?
Да, именно там
AM
Я вроде достаточно информации дал 🤷♂ За остальным можно сходить в гугл, взял полученные ключевые слова из чата.
M
Да, именно там
Но мне предлагают на винду поставить?) Я говорю именно про приложение которое хочу продебажить, а не про то, которое будет перехватывать если что
AM
Но мне предлагают на винду поставить?) Я говорю именно про приложение которое хочу продебажить, а не про то, которое будет перехватывать если что
Я хз, где ты увидел совет сертификат в винду поставить.
с#
Но мне предлагают на винду поставить?) Я говорю именно про приложение которое хочу продебажить, а не про то, которое будет перехватывать если что
лол приложение на винде предлагает установить сертификат на телефон.
M
А по умолчанию в приложениях включены проверки сертификатов?)
M
А то я пока только нашел огромную статью по безопасности