dimakovalenko 20 мая 2014 в 21:45

Пару слов о перехвате HTTP/HTTPS трафика iOS приложений

3 мин

48K

Информационная безопасность * Отладка * Реверс-инжиниринг *

Туториал

+21

Комментарии 17

pingwinator 20 мая 2014 в 22:35

а в случае если нет на железке джейла, то можно сделать вот так

dimakovalenko 21 мая 2014 в 06:50

По вашей ссылке предлагается:
— либо засунуть на девайс левый сертификат (но против certificate pinning не поможет)
— либо изменить код приложения (ну это если у вас есть этот самый код)
Таким образом если у нас нету кода приложения и приложение юзает cert. pinning — мы скорее всего в пролете. Метод в статье позволяет обойти это ограничение.

outcoldman 21 мая 2014 в 05:59

Есть же официальная документация [Capture Traffic from iOS Device](http://docs.telerik.com/fiddler/configure-fiddler/tasks/configureforios) без всяких сторонних утилит. Всего-то сертификат локальный нужно установить.

dimakovalenko 21 мая 2014 в 06:48

Попробуйте увидеть таким способом трафик от Twitter например? Я почему-то уверен что не получится. Если приложение использует certificate pinning, оно не поверит вашему локальному сертификату. Ему вообще будет плевать какие сертификаты установлены в системе.

outcoldman 21 мая 2014 в 14:40

Ок, понял. Помню, что мне интересно было посмотреть как-то одно приложение — работало без проблем, но о certificate pinning не слышал.

dimakovalenko 21 мая 2014 в 17:13

Сейчас многие приложения используют cert. pinning — это одна из рекомендаций OWASP если я не ошибаюсь. Раньше такого действительно поменьше было, еще года два назад этой ерундой страдали считанные приложения. Сейчас такое попадается все чаще и чаще, и надо с этим как-то бороться :) Ну вот в статье как раз один из способов. Есть и другие, но они более геморные или требуют спецподготовки (вроде умения загнать чужое приложение без исходников под отладку и перехватить вызовы некоторых функций).

spbdimka 21 мая 2014 в 10:25

Отлично. То что было нужно, и без всяких sslstrip извращений на роутере
ios 6.1.4

dimakovalenko 21 мая 2014 в 10:44

Спасибо за ваш отзыв ) Только учтите что для iOS 6.1 нужна другая версия патча: github.com/iSECPartners/ios-ssl-kill-switch/releases/tag/release-0.5

spbdimka 21 мая 2014 в 12:17

нифига подобного… завелась на этом
там даже в релизноут написано мол «добавлена ios 7» — про исключение 6ой нет ничего.
работает

dimakovalenko 21 мая 2014 в 12:20

Вон оно как :) Спасибо за информацию, теперь буду знать что последняя версия патча совместим и с 6ой iOS тоже.

L3n1n 21 мая 2014 в 16:54

PC с Windows 7 и установленной последней версией Fiddler2

Fiddler вроде как портирован и на мак. Я например месяц назад без проблем снифил.

dimakovalenko 21 мая 2014 в 17:09

На маке оно тоже вроде как работает, но ИМХО фидлер на маке в смысле интерфейса выглядит как говно — ну чисто на мой вкус конечно ) Поэтому я и рекомендовал Windows.

z3us 25 мая 2014 в 19:45

Использую CharlesProxy для iOS/Android, 50$ не жалко за отличный инструмент, который меня не раз спасал

dimakovalenko 25 мая 2014 в 19:48

Слышал много хорошего об этом инструменте, но как-то уже привык к Fiddler2. Ну там удобно смотреть запросы, есть скриптование и все такое. Хотя на Mac фидлер выглядит страшновато (ИМХО, в смысле интерфейса)

z3us 25 мая 2014 в 19:54

в Charles тоже есть, не так удобно подмена сделана, но ненамного. Если что-то хитрое подменять надо, всегда программисты помогают :) У меня Fiddler вроде не падал особо, но не скажу что я прям активно им пользовался

roller 27 мая 2014 в 21:05

Аплоад картинки в инстаграм сквозь фиддлер не проходит. В инстаграме пишется Failed, в фиддлере на всех запросах в ответе идет 502 Bad Gateway и HTTPS-запросы подсвечены красным.

dimakovalenko 28 мая 2014 в 05:20

К сожалению приведенный в статье метод не идеален и в некоторых частных случаях может не работать как нужно. Я пока не знаю 100% универсального метода ловить трафик. Если вы знаете — делитесь, думаю многим будет интересно )

Зарегистрируйтесь на Хабре, чтобы оставить комментарий