web-dev-qa-db-ja.com

Androidモバイルアプリケーションのセキュリティテスト

私はAndroidアプリケーションセキュリティの初心者です。AndroidアプリトラフィックをBurpProxyにトンネリングする方法を知りたいです。すでにプロキシを設定しています。エミュレーターとそれは正常に動作していますが、アプリケーションはBurp Suite CAを使用しておらず、エラーをスローしているため、アプリケーショントラフィックがBurpSuiteに表示されていません。

誰かがこれを達成する方法を私に提案できますか?

appsecburp-suite
4
user1289569

アプリにもよると思います。システム全体の証明書設定を使用している場合は、BurpCAを電話/エミュレーターにインポートしてみてください。電話機のブラウザに http:// burp urlをロードして、そこにCAをダウンロードできますが、これは、Burpが電話機のプロキシとしてすでに設定されている場合にのみ機能します。詳細はこちら:

https://support.portswigger.net/customer/portal/articles/1841102-Mobile%20Set-up_Android%20Device%20-%20Installing%20CA%20Certificate.html

アプリが何らかの証明書検証自体を実装している場合は、それを何らかの方法でオフにするか、サーバーの秘密鍵と証明書をげっぷでインストールする必要があります。もちろん、それらがある場合のみです。

1
gerion