Https Traffic

Você pode reproduzir e manipular solicitações para testar vulnerabilidades do lado do servidor.

Em muitos casos, é mais prático configurar um proxy do sistema no dispositivo móvel, para que o tráfego HTTP(S) seja redirecionado por meio de um proxy de interceptação executado no computador host. Ao monitorar as solicitações entre o cliente do aplicativo móvel e o back-end, você pode mapear facilmente as APIs do lado do servidor disponíveis e obter informações sobre o protocolo de comunicação. Além disso, você pode reproduzir e manipular solicitações para testar vulnerabilidades do lado do servidor.

Várias ferramentas de proxy gratuitas e comerciais estão disponíveis. Aqui estão alguns dos mais populares:

1) Suíte Arroto

2) ZAP OWASP

Para usar o proxy de interceptação, você precisará executá-lo em seu computador host e configurar o aplicativo móvel para rotear solicitações HTTP(S) para seu proxy. Na maioria dos casos, basta definir um proxy de todo o sistema nas configurações de rede do dispositivo móvel - se o aplicativo usar APIs HTTP padrão ou bibliotecas populares como okhttp, ele usará automaticamente as configurações do sistema.

O uso de um proxy interrompe a verificação do certificado SSL e o aplicativo geralmente falha ao iniciar conexões TLS. Para contornar esse problema, você pode instalar o certificado CA do seu proxy no dispositivo.

Interceptação de tráfego HTTP(S)