モバイルデバイスにダウンロードしたアプリのHTTPおよびHTTPSアクティビティを監査したい。これを行う最良の方法は何ですか?
デバイスを所有し、ルート証明書を追加し、USBを使用して実行中のデバイスをコンピューターに接続し、診断ツールを実行できます。
また、ネットワークIOを確認するために、存在する開発者モードで実行することもできます。
最も簡単な方法は、HTTPプロキシを設定することです。 iOSでは、WiFi設定でこれを行うことができ、Androidにも同様の設定があります。
ノートパソコンのインタラクティブプロキシ(おそらくBurpまたはZap)に電話を向けます。これはフィドラーに似たインターフェースを提供します。
HTTPSをインターセプトするには、プロキシから証明書を電話にインストールする必要があります。
一部のアプリケーションはこのように動作することを拒否します。たとえば、 証明書の固定 を使用する場合。これを回避するための移動の高度なテクニックがあります。
CharlesプロキシとWiresharkを組み合わせてiPhoneのトラフィックを監視しました。
Charlesをコンピュータにインストール/実行した後、IPをメモし、iPhoneをワイヤレスネットワークに接続します。 iPhoneのWi-Fi接続をプロキシ経由で接続するように設定します。期待どおりにWebにアクセスできることを確認したら(Charlesが機能しているなど)、WiresharkにCharlesが実行されているネットワークインターフェイスの監視を開始させます。少しのWireshark-Fuがあれば、アプリのトラフィックを解析できるはずです。