HTTPSスニッフィング用の独自の証明書をインストールしますか?
これは以前聞いたことがあるが、どうすればいいのか思い出せない。チュートリアルなどを探している。
Androidアプリケーションを監査する必要があります。Cookieが送信されているかどうかを確認する必要があります。残念ながらトラフィックはHTTPSです。
自分の証明書をAndroid電話にインストールすることが可能で、Wiresharkでトラフィックを復号化できると言われています。
監査している電話とコンピュータへのフルアクセス権があるため、証明書のインストールは問題になりません。
これがどのように行われるかについて誰かがガイドを持っていますか?
編集:この未回答の質問は私がやりたいことです https://stackoverflow.com/questions/45300728/import-self-signed -certificate-in-Android-to-sniff-https-traffic
可能な回答:私は自分の質問に回答した可能性があります。これはHTTPSを復号化しているようです。 Charles証明書を最初にデバイスにインストールするだけです。誰かが確認するのを待ちますか? https://www.charlesproxy.com/
はい、一般的に、他のコメントで説明されているように、これは可能です。そのため、アプリでは証明書の固定がよく使用されます。これは、証明書と公開鍵がアプリのソースコードにハードコードされていることを意味します。ここでは、証明書のピン留めに関する詳細情報を確認できます。
https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning
この場合は、アプリを逆コンパイルし、固定している部分を削除して再コンパイルする必要があります。
mitproxyおよびsslsplitを使用して電話を操作し、コンピューターをサーバーのふりをします。新しく偽造された証明書を携帯電話にインストールして、携帯電話が警告を出さないようにする必要があります。これをチェックしてください 投稿 。