Esiste un modo statico per scoprire tutte le richieste Http fatte da un'applicazione Android?

2

Immagina il seguente scenario:

  • Voglio verificare quanto è sicura un'applicazione Android
  • Ho accesso al suo codice sorgente
  • Ho il sospetto che alcune informazioni sensibili vengano trasmesse via Http anziché Https in alcune funzioni
  • Potrei intercettare il traffico e vedere se usa http o https (Usando uno strumento come Burp Suite), ma l'applicazione è veramente grande ci vorrebbe molto tempo.

Quindi, c'è un modo (come uno script) che posso esplorare il codice sorgente e elencare i luoghi in cui viene utilizzato un http? Quindi potrei analizzare individualmente?

    
posta Rikkin 10.01.2018 - 12:19
fonte

1 risposta

1

Ho trovato un interessante modulo per lo strumento Drozer che soddisfa i bisogni che avevo in precedenza e mi ha aiutato nel mio compito. Quindi ho deciso di postare una risposta qui se qualcuno è interessato anche.

La descrizione dei moduli:

Finds URLs with the HTTP or HTTPS schemes by searching the strings inside APK files. You can, for instance, use this for finding API servers, C&C servers within malicious APKs and checking for presence of advertising networks.

    
risposta data 06.02.2018 - 17:02
fonte

Leggi altre domande sui tag