Charles Proxy no puede capturar el mensaje enviado a través de la conexión SSL [cerrado]

Question

Charles Proxy no puede capturar el mensaje enviado a través de la conexión SSL [cerrado]

#1 de WoJ (0 votos)
#2 de ThoriumBR (0 votos)

1

He configurado la aplicación Charles Proxy y puede capturar mi solicitud / respuesta https enviada a través del navegador. Ahora, en lugar de usar el navegador, tengo una aplicación que configura una conexión SSL con el servidor, y luego la aplicación crea un mensaje HTTP y lo envía a través de la conexión SSL. Recibo respuesta del servidor, así que creo que todo está funcionando bien. Pero de alguna manera, Charles Proxy no puede capturar el mensaje que envié. Técnicamente creo que lo que hago no es diferente de lo que hace el navegador. Pero debo estar equivocado aquí.

Entonces, ¿qué está mal aquí?

tls proxy

pregunta namanhams 08.07.2015 - 19:41

fuente

2 respuestas

Lea otras preguntas en las etiquetas tls proxy

Posibles problemas de seguridad en un proceso de carga de dos partes ¿Cómo me deshago del malware Total Ad Performance de mi Android? [cerrado]

score 0 · Answer 1

Si entiendo correctamente, tu configuración es

app - mobile configured to proxy web requests - Charles Proxy on a PC - target server

Si es así, esta es una configuración correcta, pero el tráfico SSL puede ser problemático, ya que el proxy interceptará el tráfico SSL y la aplicación puede reconocer esto como un ataque MitM (espera ver el certificado correcto, pero obtiene el uno de Charles Proxy).

Puedes intentar navegar en el móvil a un sitio http y ver si el tráfico es interceptado.

Si es así, es probable que tenga dificultades para analizar el tráfico de la aplicación, ya que se defenderá contra lo que percibe como un MitM.
Si no lo está, entonces el proxy en el móvil no está configurado correctamente

score 0 · Answer 2

Puede instalar el certificado de la Autoridad de Certificación de Charles en el dispositivo móvil e intentar ejecutar el proxy nuevamente. Probablemente la aplicación esté recibiendo un error que indique un certificado no válido.

Si esto no ayuda, es posible que la aplicación no esté utilizando el proxy indicado en la configuración de red. Esto es muy común. Si usa un dispositivo Android rooteado (como debería hacerlo cualquier desarrollador), puede usar un proxy interceptor para forzar que todas las conexiones se enruten a Charles. Una buena es ProxyDroid.

Esto no servirá de nada si la aplicación utiliza la fijación de certificados: nunca confiará en el certificado de Charles. Para evitar eso, puedes descomprimir la aplicación, cambiar el certificado y volver a empaquetarlo.