Я знаю, что я не использовал MiTM в своем приложении для Android, и он может быть уязвим. Я хочу протестировать сценарий, подключив свой телефон Android через прокси (мой ноутбук) и используя любые возможные инструменты для проверки атаки MiTM.
Как использовать OWASP ZAP для атаки MiTM на Android?
Ответы (1)
Вам необходимо:
- Установите сертификат корневого ЦС ZAP в качестве сертификата доверенного корневого ЦС на свое устройство.
- Настройте ZAP на компьютере и установите используемый хост как пустой, чтобы он прослушивал все IP-адреса.
- Настройте свое устройство на прокси через этот компьютер
Здесь есть видео + описание с более подробной информацией: https://security.secure.force.com/security/tools/webapp/zapandroidsetup.
person
Simon Bennetts
schedule
12.07.2016
Если я создам собственный сертификат CA и добавлю его на свое устройство в качестве доверенного сертификата. Тогда в этом нет нападения. Это доверенный сертификат, и он должен работать. Тогда я не думаю, что это атака MiTM.
- person Husyn; 13.07.2016
Эти инструкции должны были настроить ZAP, чтобы он мог эффективно сканировать ваше приложение. Если вы просто хотите проверить, что атака MiTM не может видеть / изменять какое-либо соединение между вашими приложениями, сделайте то же самое, но без установки сертификата корневого CA ZAP. Если ZAP показывает какой-либо незашифрованный трафик, ваше приложение будет уязвимо для недоверенных атак MiTM.
- person Simon Bennetts; 13.07.2016