Android Uygulamarını Proxy Üzerinden Geçirme

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

İlgili mobil trafiği, proxy üzerinden geçirerek manuel ve otomatize test imkanı elde etmek.

Lab Senaryosu:

Dropbox android uygulamasının login formundaki bilgilerin, owasp zap proxy uygulaması üzerinden geçirilmesi sağlanmıştır.

Araç:

  • Send To SD Card
  • OWASP ZAP

Adımlar:

  • Android mobil uygulamların birçoğu, arka planda sunucu ile haberleşmede HTTP protokolü kullanır. Bu yüzden mobil uygulama testlerinde, Burp Suite veya zad attack proxy (zap) gibi web proxy araçları kullanılarak rahatlıkla test edilebilir.

Bunun için web proxy kurulu bilgisayar veya notebook sistemimiz ile mobil cihaz ile sunucu arasına girersek, gelen giden trafik üzerinde her türlü hakimiyeti, elimize almış oluruz. Parametrelere çeşitli payloadlar gönderilerek, dönen cevaplar yorumlanarak çeşitli güvenlik açıkları tespit edilebilir. Web proxy kurulu notebook ile mobil cihaz ve sunucu arasına girmek için aşağıdaki adımlar uygulanabilir.

Araya girebileceğimiz notebook üzerine zap veya burp suite benzeri bir web proxy aracı kurulabilir. Biz makalelede ZAP proxy tercih ettik.

Zap üzerinden proxy ayarlarını aşağıdaki gibi yapıyoruz. Notebook yerel IP adresini ve port numarasını, aşağıdaki gibi set ediyoruz.

Proxy1.png

  • Zap ile araya gireceğimizden dolayı, zap tarafından gönderilen sertifikanın android cihazımızda güvenilebilmesi için trust sertfikalar arasına almalıyız. Bunun için ZAP üzerinden aşağıdaki gibi sertfika export edilebilir.(.cer uzantılı olacak şekilde.)

Proxy2.png

  • Bu .cer uzantılı sertfikayı, android cihazımıza indirip SD Card içerisine kopyalamamız gerekmektedir. Sd card'a kopyalamakla komut satırından boğuşmamak için için 'Send To SD Card' uygulaması kullanılabilir.

Proxy3.png

  • Daha sonra android cihazımız üzerinde, aşağıdaki yol takip edilerek owasp zap tarafından üretilen dinamik ssl sertfikamızın android cihazımız tarafından güvenilir sertfikalar arasına almak gerekir.

Uygulamalar/Ayarlar/Kişisel/Güvenlik/Kimlik Bilgisi Depolama/Cihaz Belleğinden Yükle yolu takip edildiğinde, sdcard daki sertfika dosyaları aranır ve cihazımız tarafından güvenilen sertfikalar arasına eklenir.

Proxy4.png

  • Bundan sonra yapılması gereken kablosuz ağ bağlantısı için proxy ayarı girilmesi gerekir. Bunun için Uygulamalar/Ayarlar/Wi-fi altındaki bağlantı yapılacak kablosuz ağ seçilir. Burada, mevcut ayarları unut denilip tekrar kurulurken, ileri düzey seçeneklerinden proxy ayarları girilir.

Proxy5.png

  • Owasp zap proxy için belirlediğimiz ayarlar (3.3.3.12:8080), aynı şekilde Wifi proxy ayarları olarakta girilir. Bundan sonra android cihazımızın http/https trafiği bu IP ve porta gidecektir. Bu şekilde trafiği, üzerimizden geçirip bundan sonra normal web uygulaması test eder gibi testlerimize devam edebiliriz. Manuel payloadlar gönderilebileceği gibi otomatik olarak da zafiyet taraması gerçekleştirilebilir.

Güvenlik testi uygulamamız için örnek olarak dropbox android uygulaması kullanılmıştır. İlgili android uygulamasını açıp, login olalım ve oluşan https trafiğini zap üzerinden geçtiğini görelim ve bundan sonra taramalar, web uygulama testlerine benzer devam ettirilebilir.

Proxy6.png

  • Login formundan girilen kullanıcı adı ve parola bilgisi, aşağıda görüldüğü gibi araya girdiğimiz için artık bizim üzerimizden hedefe gidecektir.

Proxy7.png