Installazione del proprio certificato per lo sniffing HTTPS?

Naviga le tue risposte
3

Questo è qualcosa che ho sentito prima ma non ricordo come fare, sto cercando un tutorial o simili.

Ho un'applicazione Android che devo controllare. Devo controllare se vengono trasmessi dei cookie, purtroppo il traffico è HTTPS.

Mi è stato detto che è possibile installare il mio certificato sul telefono Android e quindi posso decodificare il traffico in Wireshark.

Ho pieno accesso al telefono e al computer che sto controllando, quindi installare qualsiasi certificato non è un problema.

Qualcuno ha una guida su come questo viene eseguito?

EDIT: questa domanda senza risposta è ciò che voglio fare link

Risposta possibile: potrei aver risposto alla mia domanda, questo sembra decifrare HTTPS. È sufficiente installare prima il certificato Charles sul dispositivo. Aspetterò che qualcuno confermi? link

    
posta user5623335 19.06.2018 - 11:05
fonte

2 risposte

1

Sì, in generale questo è possibile, come descritto nell'altro commento. Ecco perché le app utilizzano spesso il blocco dei certificati. Ciò significa che il certificato e la chiave pubblica sono codificati nel codice sorgente dell'app. Qui puoi trovare ulteriori informazioni sul blocco dei certificati.

link

Se questo è il caso, devi decompilare l'app, rimuovere le parti bloccate e ricompilarlo.

    
risposta data 19.06.2018 - 18:39
fonte
1

Usa mitproxy e sslsplit per manipolare il tuo telefono e fare finta che il tuo computer sia il server. Dovrai installare il certificato appena forgiato sul tuo telefono cellulare in modo che il tuo telefono non generi alcun avvertimento. Dai un'occhiata a questo post .

    
risposta data 19.06.2018 - 11:34
fonte

Leggi altre domande sui tag

Come fa Windows a sapere che un particolare software è un AV? C'è un vantaggio nell'impostare un codice di sicurezza su un account che ha già un 2FA basato sul telefono?