Capturando el tráfico HTTP a través del servidor proxy

1

Al realizar la evaluación de seguridad en una aplicación de Android (entorno UAT), no puedo capturar el tráfico HTTP a través del servidor proxy (Burp Suite / OWASP Zap). No hay ningún punto de implementación de medidas de seguridad como SSL Pinning ya que la aplicación carece del uso del protocolo HTTPs. Usé la aplicación SSL Capture para Android (alternativa a Wireshark para Android) para detectar con éxito el tráfico de la aplicación y confirmé que la aplicación está utilizando HTTP para la comunicación.

Al descompilar la aplicación, encontré que la aplicación está empaquetada con una biblioteca nativa. Creo firmemente que la aplicación está haciendo llamadas de red en la biblioteca nativa y creo que se usa alguna API segura (como la plataforma híbrida Xamarin) para hacer la conexión de red que carece de uso de la configuración de proxy del dispositivo al hacer la llamada de red.

¿Alguna sugerencia sobre cómo puedo capturar las solicitudes de API y la respuesta en el servidor proxy directamente? Ya estoy usando la solución al trabajar con el tráfico detectado.

Podría haber intentado el Problema invisible Burp, pero no hay resolución de DNS involucrada ya que la aplicación está enviando la solicitud directamente a IP.

    
pregunta Shiv Sahni 13.11.2018 - 12:26
fuente

0 respuestas

Lea otras preguntas en las etiquetas