Uygulama Sertfikalarının Mobil Cihazda Trusted Listesine Aldırılması

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Araya proxy ile girilmesi durumunda yaşanacak sorunların ortadan kaldırılması.

Adımlar:

  • Android cihazlarda ilgili sertifikaların, trusted (güvenilir) listesine eklenmesi için OWASP ZAP uygulamasının ürettiği sertifikanın, mobil cihazlara tanıtımı örnek verilmiştir. Bunun için aşağıdaki menüden ilgili sertifika download edilir.


2.png

  • Yukarıda kaydedilen .cer uzantılı sertifika, ilgili web sunucu üzerinden paylaştırılarak, mobil cihaz üzerinden browserdan, ilgili adresi yazılarak sertifika cihaza indirilir. Ardından mobil uygulama üzerinde, Uygulamalar/Ayarlar/Kişisel/Güvenlik/Kimlik Bilgisi Depolama/Cihaz Belleğinden Yükle yolu takip edildiğinde SDKart daki sertifika dosyaları aranır ve cihazımız tarafından güvenilen sertifikalar arasına eklenir.
  • IOS kullanan Iphone/Ipad cihazlarda, işlem biraz daha kolaydır. Proxy tarafından(ZAP, Burp Suite vs.) üretilen sahte sertifika, .crt uzantısı olarak kaydedildikten sonra bu local web sunucu dizini altına atılır. Apache servisi başlatılır. Bu web sunucuya Iphone üzerinden, Safari ile erişilip bu sertifika tıklandığında, install bölümü gelecektir ve sertifikaya güvenilip install edilmesi söylenilir ve artık ilgili CA sertifika Iphone cihazının trusted CA sertifikalarına eklenmiş olur. Ve böylece bizim ürettiğimiz sahte sertifika, uygulamada doğrudan doğrulanacaktır. Mobile kullanıcının, HTTPS üzerinden gönderdiği tüm datalar bizim üzerimizde sonlanacak ve biz içeriği görebileceğiz.