Как использовать OWASP ZAP для атаки MiTM на Android?

Я знаю, что я не использовал MiTM в своем приложении для Android, и он может быть уязвим. Я хочу протестировать сценарий, подключив свой телефон Android через прокси (мой ноутбук) и используя любые возможные инструменты для проверки атаки MiTM.


android security owasp zap mitmproxy
person Husyn    schedule 12.07.2016    source источник

Ответы (1)


arrow_upward
4
arrow_downward

Вам необходимо:

  1. Установите сертификат корневого ЦС ZAP в качестве сертификата доверенного корневого ЦС на свое устройство.
  2. Настройте ZAP на компьютере и установите используемый хост как пустой, чтобы он прослушивал все IP-адреса.
  3. Настройте свое устройство на прокси через этот компьютер

Здесь есть видео + описание с более подробной информацией: https://security.secure.force.com/security/tools/webapp/zapandroidsetup.

person Simon Bennetts    schedule 12.07.2016
comment
Если я создам собственный сертификат CA и добавлю его на свое устройство в качестве доверенного сертификата. Тогда в этом нет нападения. Это доверенный сертификат, и он должен работать. Тогда я не думаю, что это атака MiTM. - person Husyn; 13.07.2016
comment
Эти инструкции должны были настроить ZAP, чтобы он мог эффективно сканировать ваше приложение. Если вы просто хотите проверить, что атака MiTM не может видеть / изменять какое-либо соединение между вашими приложениями, сделайте то же самое, но без установки сертификата корневого CA ZAP. Если ZAP показывает какой-либо незашифрованный трафик, ваше приложение будет уязвимо для недоверенных атак MiTM. - person Simon Bennetts; 13.07.2016