L'applicazione non si collega al proxy Charles

0

Devo controllare un'app per Android per le vulnerabilità. Devo intercettare i dati crittografati inviati al server. Questa applicazione utilizza un certificato che viene inserito nella directory res / raw, quindi è un file di risorse. L'ho modificato in un Charles certificato di root proxy, installato lo stesso certificato su Android, ma l'applicazione non si connette.

    
posta datafile4 20.10.2016 - 10:51
fonte

1 risposta

1

Un problema comune con le applicazioni mobili e l'uso di software proxy, come ad esempio charles, è che l'applicazione potrebbe utilizzare "pinning del certificato" per impedire l'intercettazione con proxy del traffico tra esso e il server.

Il modo più semplice per accertarlo è chiedere allo sviluppatore dell'applicazione se lo sta facendo e richiedere una build con quella funzione disabilitata per rendere più semplice il test (presumo che tu stia agendo come revisore della sicurezza per app.).

Se ciò non è possibile, qualcosa come Android SSL Trustkiller può essere utilizzato su un dispositivo rooted per rimuovere il certificato bloccare e consentire l'intercettazione.

    
risposta data 20.10.2016 - 15:30
fonte