Burp Suite 不拦截来自 Flutter iOS 移动应用程序的 api 调用

【问题标题】:Burp Suit not intercepting api calls from Flutter iOS mobile applicationBurp Suite 不拦截来自 Flutter iOS 移动应用程序的 api 调用
【发布时间】:2019-04-25 07:51:20
【问题描述】:

我已将 Burp 套装配置为拦截来自 iOS 移动应用程序的 API(http 和 https)调用。

我从所有使用 http 和 https(SSL 证书固定已禁用)的本机 iOS 应用程序中得到了预期的结果

但对于 Flutter 移动应用,不会拦截任何请求,并且“http 历史记录”选项卡下也没有列出任何项目。

我正在使用 Flutter 默认包“http.dart”进行 API 调用。该软件包是否包含任何类型的内置安全性以避免网络拦截?

【问题讨论】:

  • 我认为您的应用只是忽略了系统范围的代理设置或使用非 http 协议(不太可能,鉴于您正在使用的包)。尝试使用 Wireshark 交叉流量,看看它是如何与服务器通信的

标签: ios security flutter burp flutter-packages


【解决方案1】:

Flutter 使用 Dart,它不使用系统 CA 存储。这样,即使您在 iOS 设备上安装了 BURP CA,flutter 也不会注意到这一点,因为它使用嵌入到应用程序本身的 CA 列表。

出于测试目的,您必须在应用中禁用 SSL 证书验证。 Flutter中禁用SSL证书验证,请参考:

how to solve flutter CERTIFICATE_VERIFY_FAILED error while performing a POST request?

另外,您的 iOS dart 设置可能没有完全支持代理(通常 Android Dart 不是)。我也会对此进行调查。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2019-06-02
    • 2021-10-20
    • 1970-01-01
    • 2020-08-26
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode