Soy un novato en seguridad de aplicaciones para Android. Me gustaría saber cómo canalizar el tráfico de la aplicación de Android a Burp Proxy. Ya configuré el proxy en el emulador y está funcionando bien. Pero la aplicación no está utilizando la CA de Burp Suite y está generando errores y, como resultado, el tráfico de la aplicación no se muestra en Burp Suite.
¿Podría alguien sugerirme cómo lograr esto?
Creo que depende de la aplicación. Si utiliza la configuración de Cert de todo el sistema, puede intentar importar la CA Burp al teléfono / emulador. Puede cargar la url enlace en el navegador del teléfono y luego descargar la CA allí, pero esto solo funciona cuando Burp ya está configurado como proxy en el teléfono . Más información aquí:
Si la aplicación implementa algún tipo de validación de certificados en sí, entonces es posible que tengas que desactivarlo de alguna manera, o instalar la clave privada y el certificado del servidor en burp, por supuesto, solo si los tienes.
Lea otras preguntas en las etiquetas appsec burp-suite