【发布时间】:2023-03-30 01:12:01
【问题描述】:
我知道我没有在我的 Android 应用程序中处理 MiTM,它可能很容易受到攻击。我想通过代理(我的笔记本电脑)连接我的 Android 手机并使用任何可能的工具检查 MiTM 攻击来测试场景。
【问题讨论】:
标签: android security owasp mitmproxy zap
【发布时间】:2023-03-30 01:12:01
【问题描述】:
您需要:
- 在您的设备上安装 ZAP 根 CA 证书作为受信任的根 CA 证书
- 在计算机上设置 ZAP 并将其使用的主机设置为空白,以便侦听所有 IP 地址
- 将您的设备配置为通过该计算机进行代理
这里有一个视频 + 描述更多细节:https://security.secure.force.com/security/tools/webapp/zapandroidsetup
【讨论】:
-
如果我创建自己的 CA 证书并将其作为受信任的证书添加到我的设备上。那么这里就没有攻击性了。它是一个值得信赖的证书,它应该可以工作。我不认为它的中间人攻击。
-
这些说明用于设置 ZAP,以便它可以有效地扫描您的应用程序。如果您只想检查 MiTM 攻击是否无法查看/更改您的任何应用程序通信,请执行相同的操作,但无需安装 ZAP 根 CA 证书。如果 ZAP 显示任何未加密的流量,那么您的应用将容易受到不受信任的中间人攻击。