¿Instalando su propio certificado para el rastreo de HTTPS?

3

Esto es algo que escuché antes pero no puedo recordar cómo hacerlo, estoy buscando un tutorial o similar.

Tengo una aplicación de Android que necesito auditar. Necesito verificar si se están transmitiendo cookies, desafortunadamente el tráfico es HTTPS.

Me han dicho que es posible instalar mi propio certificado en el teléfono con Android y luego puedo descifrar el tráfico en Wireshark.

Tengo acceso completo al teléfono y a la computadora que estoy auditando, por lo que la instalación de certificados no es un problema.

¿Alguien tiene una guía sobre cómo se realiza esto?

EDITAR: Esta pregunta sin respuesta es lo que quiero hacer enlace

Posible respuesta: podría haber respondido a mi propia pregunta, esto parece descifrar HTTPS. Simplemente instale primero el certificado de Charles en el dispositivo. ¿Esperaré a que alguien confirme? enlace

    
pregunta user5623335 19.06.2018 - 11:05
fuente

2 respuestas

1

Sí, en general, esto es posible, como se describe en el otro comentario. Es por eso que las aplicaciones a menudo utilizan la fijación de certificados. Esto significa que el certificado y la clave pública están codificados en el código fuente de las aplicaciones. Aquí puede encontrar más información sobre la fijación de certificados.

enlace

Si este es el caso, tienes que descompilar la aplicación, eliminar las partes de anclaje y recompilarla.

    
respondido por el trietend 19.06.2018 - 18:39
fuente
1

Use mitproxy y sslsplit para manipular su teléfono y hacer que su computadora simule ser el servidor. Necesitará instalar el certificado recién falsificado en su teléfono móvil para que su teléfono no emita ninguna advertencia. Consulte esta post .

    
respondido por el daygoor 19.06.2018 - 11:34
fuente

Lea otras preguntas en las etiquetas