DataArt 9 авг 2018 в 10:06

Как сниффить HTTPS-трафик iOS-устройства

5 мин

80K

Блог компании DataArtРазработка мобильных приложений*Разработка под iOS*Тестирование мобильных приложений*

Туториал

+16

Комментарии 17

blazzed 9 авг 2018 в 10:52

Charles хорош, но рекомендую автору попробовать Burp Suite. Отличный инструмент для подобных задач, и имеет ряд преимуществ перед аналогами, даже в бесплатной версии

DataArt 10 авг 2018 в 15:38

Спасибо, попробуем!

abbath0767 9 авг 2018 в 11:37

Прошу прощения, но чем ваша статья принципиально отличается от другой такой же кроме названия — habr.com/company/redmadrobot/blog/269109

DataArt 10 авг 2018 в 15:41

Это статья — первая в серии статей по сниффингу шифрованного трафика, поэтому она получилось базовой, и у нее действительно много общего с приведенной вами. Но дальше на основе этого материала будут строится более сложные топики.

rmerkushin 9 авг 2018 в 12:17

Посмотрите на mitmproxy.org бесплатный и легко расширяемый

DataArt 10 авг 2018 в 15:37

Да, хорошая вещь, но не всем удобно работать в консоли.

rmerkushin 10 авг 2018 в 15:48

У них вообще то есть веб морда ) mitmproxy.org/#mitmweb

OneeL 14 авг 2018 в 17:57

Использую mitmweb для android. Есть сложность с просмотром траффика android 7 и выше (требуется вносить изменения в конфигурацию приложения), но это касается и Charles. А так отличная штука!

IgorFedorchuk 9 авг 2018 в 15:08

можно ли через charles снифать сокет? В андроиде точно можно, а вот с iOS так и не вышло

andrewBatutin 10 авг 2018 в 15:39

если WebSocket — то да, можно
подробности здесь — stackoverflow.com/a/35152849/695201

storoj 9 авг 2018 в 16:05

Ещё есть интересная технология Remote Virtual Interface, позволяет перехватывать не только wifi.

https://developer.apple.com/library/content/qa/qa1176/_index.html

Tester007 9 авг 2018 в 18:16

Рекомендую сразу использовать Charles вместо Fiddler. С последним были проблемы на Android — почему-то выписывал сертификаты на IP адрес вместо домена, так и не смог это победить. С Charles таких проблем не возникло.

KLUBS 10 авг 2018 в 11:04

А как быть с приложениями, которые проверяют сертификат? Например Instagram?

DataArt 10 авг 2018 в 15:37

Об этом Андрей расскажет в следующей статье!

DataArt 26 сен 2018 в 22:04

Здравствуйте! Вышла новая статья Андрея: habr.com/company/dataart/blog/424485.

awesomesk1ll 13 авг 2018 в 12:12

жду продолжения про certificate pinning, интересная тема, спасибо!)

mglprn 13 авг 2018 в 12:12

Обеими руками за Charles и Fiddler.
Добавлю лишь, что Charles Proxy есть в App Store (платный, конечно), а дебажить веб прямиком с iOS-устройства катастрофически удобно.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий