SSLが使用されている場合、POST応答本文をインターセプトすることはどのくらい難しいですか?
AndroidアプリケーションがSSL経由でPOST要求(JSON)を実行し、応答としてJSONオブジェクトを受信する)の場合、JSON応答を取得するのはどれほど難しいか?
アプリケーションを逆コンパイルしてリクエストを取得して送信し、レスポンスを確認する最も簡単な方法は何ですか?
最も簡単な方法は何ですか?それをより困難にするために使用できるいくつかのテクニックは何ですか?
それはすべて、アプリケーション自体と、どのようなセキュリティ対策が実装されているかによって異なります。リクエストがHTTP(s)経由で送信されると仮定すると、最も簡単な方法はBurpなどのプロキシを使用することです。モバイルデバイスにCA証明書をインストールする必要があります。プロキシソフトウェア(Burp)で要求と応答を確認できます。
_APP <----> proxy <----> server
_アプリケーションがSSL/TLSピニングを使用している場合、上記のソリューションはそのままでは機能しません。一部の機能は証明書に対して追加のチェックを実行します。バイパスするには、そのような機能を改ざんする必要があります。通常、2つの方法があります。
- SSL/TLSピン接続を削除するためにアプリケーションにパッチを適用します。これには通常、アプリの解凍、編集、再パック、および再署名が必要です。あなたが私に尋ねるなら、かなり面倒です。
- SSL/TLSピン留めロジックをフックし、そのようなロジックを無効にします。フリーダは、これ(マルチプラットフォーム)のかなりクールなツールであり、iOSではSubstrate、Androidではxposedです。
2番目の解決策は、プロキシをまったく使用しないことです。通常、このようなリクエストを実行するためにHTTPクライアントライブラリが使用されています。 HTTPリクエスト関数をフックして、コンテンツを直接印刷できます。
_APP <----> server
^-> hooked functions which prints the requests
_2番目のソリューションは、アプリが標準のHTTPリクエストを使用していない場合に役立ちます。一部のアプリはgRPCなどのバイナリプロトコルを使用します。バイナリプロトコルをリバースエンジニアリングしてプロキシを設定するよりも、myclient_post(jsonData)関数をフックしてパラメータ+応答を出力する方が簡単です。
役に立つかもしれないいくつかのリンク:
- Androidにburp CAをインストールします: https://support.portswigger.net/customer/portal/articles/1841102-installing-burp-s-ca-certificate-in-an-Android-device
- IOSにburp CAをインストールします: https://support.portswigger.net/customer/portal/articles/1841109-installing-burp-s-ca-certificate-in-an-ios-device
- 一部の標準TLS/SSLピン留めロジックをバイパスするAndroid xposedモジュール: https://github.com/Fuzion24/JustTrustMe
- 上記と同じですが、Cydia基板を使用するiOSの場合: https://github.com/nabla-c0d3/ssl-kill-switch2
- フリーダ: https://frida.re/ 、コードスニペット: https://codeshare.frida.re/ 、Android sslバイパス: https://codeshare.frida.re/@pcipolloni/universal-Android-ssl-pinning-bypass-with-frida/ 、ios ssl bypass: https:// codeshare .frida.re/@ dki/ios10-ssl-bypass /
- 証明書のピン留めの説明: https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning
- 高度なシナリオに入るとき: https://github.com/federicodotta/Brida (FridaとBurpの架け橋)