Пару слов о перехвате HTTP/HTTPS трафика iOS приложений

[pingwinator]

а в случае если нет на железке джейла, то можно сделать вот так

[dimakovalenko]

По вашей ссылке предлагается:
— либо засунуть на девайс левый сертификат (но против certificate pinning не поможет)
— либо изменить код приложения (ну это если у вас есть этот самый код)
Таким образом если у нас нету кода приложения и приложение юзает cert. pinning — мы скорее всего в пролете. Метод в статье позволяет обойти это ограничение.

[outcoldman]

Есть же официальная документация [Capture Traffic from iOS Device](http://docs.telerik.com/fiddler/configure-fiddler/tasks/configureforios) без всяких сторонних утилит. Всего-то сертификат локальный нужно установить.

[dimakovalenko]

Попробуйте увидеть таким способом трафик от Twitter например? Я почему-то уверен что не получится. Если приложение использует certificate pinning, оно не поверит вашему локальному сертификату. Ему вообще будет плевать какие сертификаты установлены в системе.

[outcoldman]

Ок, понял. Помню, что мне интересно было посмотреть как-то одно приложение — работало без проблем, но о certificate pinning не слышал.

[dimakovalenko]

Сейчас многие приложения используют cert. pinning — это одна из рекомендаций OWASP если я не ошибаюсь. Раньше такого действительно поменьше было, еще года два назад этой ерундой страдали считанные приложения. Сейчас такое попадается все чаще и чаще, и надо с этим как-то бороться :) Ну вот в статье как раз один из способов. Есть и другие, но они более геморные или требуют спецподготовки (вроде умения загнать чужое приложение без исходников под отладку и перехватить вызовы некоторых функций).

[EnterSandman]

Отлично. То что было нужно, и без всяких sslstrip извращений на роутере
ios 6.1.4

[dimakovalenko]

Спасибо за ваш отзыв ) Только учтите что для iOS 6.1 нужна другая версия патча: github.com/iSECPartners/ios-ssl-kill-switch/releases/tag/release-0.5

[EnterSandman]

нифига подобного… завелась на этом
там даже в релизноут написано мол «добавлена ios 7» — про исключение 6ой нет ничего.
работает

[dimakovalenko]

Вон оно как :) Спасибо за информацию, теперь буду знать что последняя версия патча совместим и с 6ой iOS тоже.

[L3n1n]

PC с Windows 7 и установленной последней версией Fiddler2

Fiddler вроде как портирован и на мак. Я например месяц назад без проблем снифил.

[dimakovalenko]

На маке оно тоже вроде как работает, но ИМХО фидлер на маке в смысле интерфейса выглядит как говно — ну чисто на мой вкус конечно ) Поэтому я и рекомендовал Windows.

[z3us]

Использую CharlesProxy для iOS/Android, 50$ не жалко за отличный инструмент, который меня не раз спасал

[dimakovalenko]

Слышал много хорошего об этом инструменте, но как-то уже привык к Fiddler2. Ну там удобно смотреть запросы, есть скриптование и все такое. Хотя на Mac фидлер выглядит страшновато (ИМХО, в смысле интерфейса)

[z3us]

в Charles тоже есть, не так удобно подмена сделана, но ненамного. Если что-то хитрое подменять надо, всегда программисты помогают :) У меня Fiddler вроде не падал особо, но не скажу что я прям активно им пользовался

[roller]

Аплоад картинки в инстаграм сквозь фиддлер не проходит. В инстаграме пишется Failed, в фиддлере на всех запросах в ответе идет 502 Bad Gateway и HTTPS-запросы подсвечены красным.

[dimakovalenko]

К сожалению приведенный в статье метод не идеален и в некоторых частных случаях может не работать как нужно. Я пока не знаю 100% универсального метода ловить трафик. Если вы знаете — делитесь, думаю многим будет интересно )