web-dev-qa-db-ja.com

Androidアプリから行われるHTTP(S)呼び出しを監視する

Androidアプリでセキュリティの脆弱性をテストしたいので、Androidアプリから行われるすべてのHTTP(S)呼び出しを監視したい。

私のラップトップでBurpSuitをセットアップし、私のAndroidデバイスでプロキシもセットアップしました。ユーザーの信頼できる証明書にBurp証明書をインストールした後、HTTP(S)コールを適切に監視できますウェブサイトとほぼすべてのアプリ。

しかし、一部のアプリでは"接続できませんでした。インターネット接続を確認してください。"と表示されてエラーが表示されます。

Android 5.0ルート権限を取得されていないデバイスを使用しています。

どんな助けでもありがたいです

penetration-testandroidman-in-the-middlevulnerabilityburp-suite
1
Rajesh K

一部のアプリは、ハードコードされたCA証明書または内部証明書ストアで構成されています。つまり、共有証明書ストアにCAを追加しても、証明書を信頼してもらうことはできません。これは非常に一般的なセキュリティ対策です。金融業界で。

1
Esa Jokinen

SSLピン接続を回避し(このエラーの原因:"接続できませんでした。インターネット接続を確認してください。")、要求の表示/傍受を防ぐには、ルート化されたデバイスが必要です。 Xposedフレームワークには、役立つ多くのツールが用意されています。

0
Elie Moutran