1. дома
  2. Вопрос и ответ
  3. Как использовать OWASP ZAP для атаки MiTM на Android?

Как использовать OWASP ZAP для атаки MiTM на Android?

2016-07-12 3 views
0

Я знаю, что я не обрабатывал MiTM в своем приложении для Android, и это может быть уязвимым. Я хочу протестировать сценарий, подключив свой телефон Android через прокси (мой ноутбук) и используя любые возможные инструменты для проверки атаки MiTM.Как использовать OWASP ZAP для атаки MiTM на Android?

источник

2016-07-12 Husyn

ответ

2

Вам нужно:

  1. Установите ZAP корневого ЦС сертификата в качестве доверенного корневого ЦС CERT на устройстве
  2. Настройка ZAP на компьютере и установить хост использует в качестве пустой, так что он прослушивает все IP-адреса
  3. настроить устройство для прокси-сервера через этот компьютер

Theres видео + описание Whith более подробно здесь: https://security.secure.force.com/security/tools/webapp/zapandroidsetup

источник

2016-07-12 13:35:06

+0

Если я создаю свой собственный сертификат CA и добавлю его на свое устройство в качестве доверенного сертификата. Тогда в этом нет никакой атаки. Его доверенный сертификат, и он должен работать. Тогда я не думаю, что его атака MiTM. – Husyn

+1

Эти инструкции должны были настроить ZAP, чтобы он мог эффективно сканировать ваше приложение. Если вы просто хотите проверить, что атака MiTM не может увидеть/изменить какую-либо из ваших коммуникаций приложений, выполните то же самое, но без установки корневого сертификата CA ZAP. Если ZAP показывает любой незашифрованный трафик, ваше приложение будет уязвимым для ненадежных атак MiTM. –

 Смежные вопросы

  • Нет связанных вопросов^_^