Ммм… а кто на макоси сидит — тому что делать? Вроде как BitLocker только для Windows? Извините если глупость сморозил, прошу просветить кто в теме. Спасибо.
К сожалению приведенный в статье метод не идеален и в некоторых частных случаях может не работать как нужно. Я пока не знаю 100% универсального метода ловить трафик. Если вы знаете — делитесь, думаю многим будет интересно )
Слышал много хорошего об этом инструменте, но как-то уже привык к Fiddler2. Ну там удобно смотреть запросы, есть скриптование и все такое. Хотя на Mac фидлер выглядит страшновато (ИМХО, в смысле интерфейса)
Сейчас многие приложения используют cert. pinning — это одна из рекомендаций OWASP если я не ошибаюсь. Раньше такого действительно поменьше было, еще года два назад этой ерундой страдали считанные приложения. Сейчас такое попадается все чаще и чаще, и надо с этим как-то бороться :) Ну вот в статье как раз один из способов. Есть и другие, но они более геморные или требуют спецподготовки (вроде умения загнать чужое приложение без исходников под отладку и перехватить вызовы некоторых функций).
На маке оно тоже вроде как работает, но ИМХО фидлер на маке в смысле интерфейса выглядит как говно — ну чисто на мой вкус конечно ) Поэтому я и рекомендовал Windows.
По вашей ссылке предлагается:
— либо засунуть на девайс левый сертификат (но против certificate pinning не поможет)
— либо изменить код приложения (ну это если у вас есть этот самый код)
Таким образом если у нас нету кода приложения и приложение юзает cert. pinning — мы скорее всего в пролете. Метод в статье позволяет обойти это ограничение.
Попробуйте увидеть таким способом трафик от Twitter например? Я почему-то уверен что не получится. Если приложение использует certificate pinning, оно не поверит вашему локальному сертификату. Ему вообще будет плевать какие сертификаты установлены в системе.
В данный момент использую RPI mod. A в качестве:
— web сервера (крутится домашняя википедия по reverse engineering)
— папка для bit sync (в онлайне 24/7)
— git сервер
Из минусов — все это работает адски медленно ( В остальном претензий нет.
Прекратить дышать не получится конечно. Но вот дышать реже — вполне. Ну что бы были смягчающие обстоятельства и на суде потом можно было сказать что мол «да, я дышал, раскаиваюсь… но дышал я нечасто и с искренним отвращением к этому запрещенному животному рефлексу — дышать! прошу учесть при вынесении приговора»
codedigging.com/2014/02/installing-lldb/
Если что — спрашивайте )
ldid? Чем плохоЯ так
debugserverпереподписывал (чуть поменяв ему plist) перед тем как запихнуть его на iPhone — работает.Приятно что не перевелись в сети люди вроде Вас!
— либо засунуть на девайс левый сертификат (но против certificate pinning не поможет)
— либо изменить код приложения (ну это если у вас есть этот самый код)
Таким образом если у нас нету кода приложения и приложение юзает cert. pinning — мы скорее всего в пролете. Метод в статье позволяет обойти это ограничение.
— web сервера (крутится домашняя википедия по reverse engineering)
— папка для bit sync (в онлайне 24/7)
— git сервер
Из минусов — все это работает адски медленно ( В остальном претензий нет.
OS: iOS, Android
codedigging.com