29 May 2021 в 00:55
29 May 2021 в 00:55 #1
29 May 2021 в 01:02 #2
нужно ввести какие то данные
бтв акк угнать не смогут, если 2 раза не введешь код с гуарда
29 May 2021 в 01:03 #3
бтв акк угнать не смогут, если 2 раза не введешь код с гуарда
бтв акк угнать не смогут, если 2 раза не введешь код с гуарда
29 May 2021 в 01:04 #4
а, лол, загуглил, не скам( по крайней мере когда я юзал не был)
29 May 2021 в 01:25 #5
Просто автоматическая передача твоих шмоток напрямую покупателю.
Хотя, со временем могу навернуть, хапануть все инвентари и закрыться.
29 May 2021 в 01:28 #6
Просто автоматическая передача твоих шмоток напрямую покупателю.
Хотя, со временем могу навернуть, хапануть все инвентари и закрыться.
а че такое прокси стима как найти это
29 May 2021 в 01:30 #7
а че такое прокси стима как найти это
Это бесполезная функция, ещё можешь не трогать.
29 May 2021 в 01:31 #8
Это бесполезная функция, ещё можешь не трогать.
Использование Azure AD Application Proxy для публикации локальных приложений для удаленных пользователей
Azure Active Directory (Azure AD) предоставляет множество возможностей для защиты пользователей, приложений и данных в облаке и локальной среде. В частности, функцию Azure AD Application Proxy могут реализовать ИТ-специалисты, которым требуется публиковать во внешней сети локальные веб-приложения. В этом случае удаленные пользователи, которым требуется доступ к внутренним приложениям, смогут получить к ним безопасный.
Возможность безопасного доступа к внутренним приложениям извне сети становится еще более насущной в современной рабочей среде. Ввиду таких сценариев, как BYOD (принеси свое устройство) и мобильные устройства, перед ИТ-специалистами стоят две цели:
Во многих организациях считают, что для управления ресурсами и их защиты достаточно, чтобы они не покидали границ корпоративной сети. Но в современной цифровой рабочей среде эти границы раздвинулись благодаря управляемым мобильным устройствам, а также ресурсам и службам в облаке. Теперь необходимо справляться с задачей защиты удостоверений пользователей и данных, хранящихся в их устройствах и приложениях.
Возможно, вы уже используете Azure AD для управления пользователями в облаке, которым необходим доступ к Microsoft 365 и другим приложениям SaaS, а также к веб-приложениям, размещенным локально. Если вы уже используете службу Azure AD, она может выполнять роль одной из плоскостей управления. Это обеспечит простой и безопасный доступ к локальным приложениям. Или, возможно, вы все еще рассматриваете переход в облако. Если это так, то переход в облако можно начать, реализовав Application Proxy и сделав первый шаг к созданию мощной платформы идентификации.
Хотя это не полный список, ниже приведены некоторые возможности, которые обеспечивает реализация Application Proxy в гибридном сценарии сосуществования различных технологий:
В этой статье объясняется, как Azure AD и Application Proxy обеспечивают единый вход для удаленных пользователей. Пользователи безопасно подключаются к локальным приложениям без использования VPN, серверов с двумя адресами и правил брандмауэра. Эта статья поможет вам понять, как Application Proxy обеспечивает возможности и преимущества безопасности в облаке для локальных веб-приложений. В ней также описывается архитектура и возможные топологии.
Удаленный доступ в прошлом
Ранее плоскость управления, используемая для защиты внутренних ресурсов от злоумышленников и упрощения доступа удаленных пользователей, полностью находилась в сети периметра. Но решения на основе VPN и обратного прокси-сервера, развернутые в сети периметра и используемые внешними клиентами для доступа к корпоративным ресурсам, не подходят для облачной среды. Обычно они подвержены следующим недостаткам:
В современном облачном мире Azure AD лучше всего подходит для управления доступом к сети и размещенным в ней ресурсам. Azure AD Application Proxy интегрируется с современными методами аутентификации и облачными технологиями, в том числе с приложениями SaaS и поставщиками удостоверений. Такая интеграция позволяет пользователям получать доступ к приложениям откуда угодно. Application Proxy не только лучше всего подходит для современной цифровой рабочей среды. Эта технология безопаснее, чем решения на основе VPN и обратного прокси-сервера, и ее проще реализовать. Удаленные пользователи могут получать доступ к вашим локальным приложениям тем же образом, как они получают доступ к Microsoft и другим приложениям SaaS, интегрированным с Azure AD. Вам не нужно изменять или обновлять приложения для работы с прокси приложения. Более того, Application Proxy не требует открывать входящие подключения через брандмауэр. Вы можете просто настроить Application Proxy и больше не беспокоиться об этом.
Будущее удаленного доступа
В современной цифровой рабочей среде пользователи работают где угодно, используя разнообразные устройства и приложения. Единственным постоянным фактором является удостоверение пользователя. Поэтому первый шаг к защищенной сети сегодня — использование возможностей управления удостоверениями Azure AD в качестве плоскости управления безопасностью. Модель, которая использует удостоверения в качестве плоскости управления, обычно состоит из следующих компонентов:
С помощью Application Proxy служба Azure AD отслеживает пользователей, которым необходим доступ к веб-приложениям, опубликованным в локальной среде и в облаке. Это обеспечивает централизованную точку управления этими приложениями. Хотя это не обязательно, мы советуем также включить условный доступ Azure AD. Определив условия для аутентификации и доступа пользователей, можно дополнительно защитить приложения от несанкционированного доступа.
Примечание. Важно понимать, что служба Azure AD Application Proxy призвана заменить решения на основе VPN или обратного прокси-сервера, используемые для перемещающихся (или удаленных) пользователей, которым требуется доступ к внутренним ресурсам. Она не предназначена для внутренних пользователей в корпоративной сети. Внутренние пользователи, которые без необходимости используют Application Proxy, могут столкнуться с непредвиденными и нежелательными проблемами с производительностью.
Общие сведения о принципах работы Application Proxy
Application Proxy — это служба Azure AD, которую можно настроить на портале Azure. Она позволяет опубликовать внешнюю конечную точку с общедоступным URL-адресом (HTTP/HTTPS) в облаке Azure, которая подключена к URL-адресу внутреннего сервера приложений в вашей организации. Эти локальные веб-приложения могут быть интегрированы с Azure AD для поддержки единого входа. После этого конечные пользователи могут получить доступ к локальным веб-приложениям тем же образом, как они получают доступ к Microsoft 365 и другим приложениям SaaS.
Данная функция содержит следующие компоненты: служба Application Proxy, которая выполняется в облаке, соединитель Application Proxy, который является упрощенным агентом, выполняемым на локальном сервере, и служба Azure AD, которая является поставщиком удостоверений. Все три компонента взаимодействуют, обеспечивая единый вход пользователей для доступа к локальным веб-приложениям.
После входа внешние пользователи могут получить доступ к локальным веб-приложениям, используя знакомый URL-адрес или Мои приложения со своего рабочего стола или устройств iOS/MAC. Например, Application Proxy поддерживает удаленный доступ и единый вход для приложений «Удаленный рабочий стол», сайтов SharePoint, Tableau, Qlik, Outlook в Интернете и бизнес-приложений (LOB).
Аутентификация
Существует несколько способов настройки приложения для единого входа, и выбор метода зависит от аутентификации, используемой приложением. Application Proxy поддерживает следующие типы приложений:
Application Proxy работает с приложениями, использующими следующий собственный протокол аутентификации:
Application Proxy также поддерживает приведенные ниже протоколы аутентификации с помощью интеграции сторонних продуктов или в специальных сценариях конфигурации.
Дополнительные сведения о поддерживаемых методах см. в статье о выборе метода единого входа.
Преимущества безопасности
Решение удаленного доступа на основе Application Proxy и Azure AD обеспечивает несколько преимуществ безопасности, которыми клиенты могут воспользоваться, включая следующие.
Аутентифицируемый доступ. Application Proxy лучше всего подходит для публикации приложений с предварительной аутентификацией. Это гарантирует, что только аутентифицированные подключения смогут достигнуть вашей сети. Трафик приложений, опубликованных с предварительной аутентификацией, не сможет пройти через службу Application Proxy в локальную среду без допустимого маркера. Предварительная аутентификация по своей сути блокирует значительное количество целенаправленных атак, так как доступ к внутреннему приложению могут обеспечить только те удостоверения, которые прошли аутентификацию.
Условный доступ. Можно применить расширенные политики, прежде чем устанавливать подключения к сети. Благодаря условному доступу можно определить ограничения в отношении трафика, который может передаваться во внутреннее приложение. Вы можете создать политики, ограничивающие вход на основе расположения, строгости аутентификации и профиля риска пользователя. По мере развития условного доступа добавляется все больше элементов управления, чтобы обеспечить дополнительную защиту, в том числе интеграция с Microsoft Cloud App Security (MCAS). Интеграция MCAS позволяет настроить для локального приложения мониторинг в реальном времени, используя условный доступ для отслеживания сеансов и управления ими в реальном времени на основе политик условного доступа.
Завершение трафика. Весь трафик, передаваемый во внутреннее приложение, завершается в службе Application Proxy в облаке, тогда как сеанс повторно устанавливается на внутреннем сервере. Подобная стратегия подключения означает, что внутренние серверы недоступны для прямого трафика HTTP. Они лучше защищены от целенаправленных атак типа «отказ в обслуживании», так как брандмауэр не подвергается атакам.
Только исходящий доступ. Соединители Application Proxy используют только исходящие подключения к службе Application Proxy в облаке через порты 80 и 443. При отсутствии входящих подключений нет необходимости открывать порты брандмауэра для входящих подключений или компонентов в сети периметра. Все подключения являются исходящими и передаются через защищенный канал.
Аналитика на основе анализа безопасности и машинного обучения. Являясь частью Azure Active Directory, Application Proxy может использовать Защиту идентификации Azure AD (требуется лицензия ценовой категории «Премиум» P2). Защита идентификации Azure AD объединяет анализ безопасности с помощью машинного обучения и веб-каналы данных отделов Digital Crimes Unit и Microsoft Security Response Center корпорации Майкрософт, чтобы заблаговременно выявлять скомпрометированные учетные записи. Защита идентификации предлагает защиту в реальном времени от операций входа с высоким риском. Эта служба учитывает такие факторы, как доступ с зараженных устройств, через анонимизирующие сети или из нетипичных и сомнительных расположений, повышая профиль риска сеанса. Этот профиль риска используется для защиты в реальном времени. Многие из этих отчетов и событий уже можно интегрировать с системами SIEM через API.
Удаленный доступ как услуга. Вам больше не нужно беспокоиться о поддержке локальных серверов для удаленного доступа и установке на них исправлений. Application Proxy — это глобальная веб-служба корпорации Майкрософт, которая гарантирует применение последних исправлений и обновлений безопасности. Программное обеспечение, на котором не установлены исправления, по-прежнему подвергается большому количеству атак. В соответствии с Министерством национальной безопасности, порядка 85 процентов целенаправленных атак могут быть предотвращены. Благодаря такой модели службы вам больше не придется уделять много внимания управлению пограничными серверами и в спешке устанавливать на них необходимые исправления.
Интеграция Intune. С помощью Intune корпоративной трафик передается отдельно от личного трафика пользователей. Application Proxy гарантирует, что корпоративной трафик проходит аутентификацию. Возможности Application Proxy и Intune Managed Browser могут также использоваться вместе, чтобы предоставить удаленным пользователям безопасный доступ к внутренним веб-сайтам с устройств iOS и Android.
План перехода в облако
Еще одно важное преимущество внедрения Application Proxy — это расширение Azure AD на вашу локальную среду. На самом деле реализация Application Proxy является ключевым шагом к переносу вашей организации и приложений в облако. Перейдя в облако и отказавшись от локальной аутентификации, вы сократите локальную инфраструктуру и будете использовать возможности управления удостоверениями Azure AD в качестве плоскости управления. Внеся минимальные изменения в существующие приложения (возможно, изменения и не потребуются), вы получите доступ к таким облачным возможностям, как единый вход, многофакторная проверка подлинности и централизованное управление. Установка необходимых компонентов для Application Proxy — это простой процесс создания платформы удаленного доступа. И перейдя в облако, вы получите доступ к последним возможностям, обновлениям и функциям Azure AD, таким как высокий уровень доступности и аварийное восстановление.
Дополнительные сведения о переносе приложений в Azure AD см. в разделе Перенос приложений в Azure Active Directory.
Architecture
На следующей схеме в общих чертах показано, как службы аутентификации Azure AD и Application Proxy работают вместе, организуя систему единого входа в локальные приложения для пользователей.
Azure AD Application Proxy состоит из облачной службы Application Proxy и локального соединителя. Этот соединитель ожидает передачи запросов от службы Application Proxy и обрабатывает подключения к внутренним приложениям. Важно отметить, что весь обмен данными осуществляется по протоколу TLS и происходит от соединителя в службу Application Proxy. То есть все подключения являются исходящими. Для всех вызовов соединитель использует сертификат клиента, чтобы пройти аутентификацию в службе Application Proxy. Единственным исключением в защите подключения является этап начальной настройки, когда устанавливается сертификат клиента. Дополнительные сведения об Application Proxy см. в разделе Как все устроено.
Соединители Application Proxy
Соединители Application Proxy — это упрощенные агенты, развернутые в локальной среде. Они помогают устанавливать исходящие подключения к службе Application Proxy в облаке. Соединители необходимо установить на сервере Windows с доступом к внутреннему приложению. Пользователи подключаются к облачной службе Application Proxy, которая направляет их трафик к приложениям через соединители, как показано ниже.
Установка и регистрация соединителя и службы Application Proxy выполняется следующим образом.
Рекомендуется развернуть несколько соединителей для обеспечения избыточности и нужного масштаба. Соединители в сочетании со службой берут на себя все задачи по обеспечению высокого уровня доступности и могут динамически добавляться или удаляться. Когда поступает новый запрос, он перенаправляется на один из доступных соединителей. Выполняясь, соединитель остается активным, так как подключается к службе. Если соединитель временно недоступен, он перестает реагировать на трафик. Неиспользуемые соединители помечаются как неактивные и удаляются спустя 10 дней бездействия.
Соединители также опрашивают сервер, чтобы узнать, появилась ли более новая версия соединителя. Хотя обновление можно выполнить вручную, соединители будут обновляться автоматически, пока служба Средства обновления соединителей Application Proxy работает. Если клиент имеет несколько соединителей, автоматическое обновление производится для каждого соединителя поочередно в каждой группе, что позволяет избежать простоев в среде.
Вы можете отслеживать страницу журнала версий Application Proxy, чтобы получать уведомления о выпуске обновлений, подписавшись на ее RSS-канал.
Каждый соединитель Application Proxy назначается в группу соединителей. Соединители в одной группе соединителей действуют как единый модуль в контексте обеспечения высокого уровня доступности и балансировки нагрузки. Вы можете создать группы, назначить в них соединители на портале Azure, а затем назначить специальные соединители для обслуживания определенных приложений. Рекомендуется иметь по крайней мере два соединителя в каждой группе соединителей для обеспечения высокой доступности.
Группы соединителей удобны в тех случаях, когда требуется реализовать следующие сценарии:
Дополнительные сведения о выборе расположения для установки соединителей и оптимизации сети см. в разделе Аспекты топологии сети при использовании прокси приложения Azure Active Directory.
Другие варианты использования
До этого момента мы рассматривали применение Application Proxy для публикации локальных приложений для внешних пользователей посредством включения единого входа для всех облачных и локальных приложений. Тем не менее, существуют другие варианты использования Application Proxy, которые стоит упомянуть. в том числе:
Заключение
Рабочие методики и используемые инструменты быстро меняются. Все больше сотрудников использует собственные устройства для работы и все шире применяются приложения SaaS, поэтому организациям следует развивать свои технологии управления данными и их защиты. Компании больше не работают исключительно в собственных стенах, защищенных рвом, вырытым по периметру. Данные передаются в больше мест, чем когда-либо — как в локальных, так и в облачных средах. Эта эволюция помогла повысить продуктивность пользователей и расширить возможности совместной работы, но она также усложняет защиту конфиденциальных данных.
Если вы уже используете Azure AD для управления пользователями в гибридном сценарии сосуществования разных сред или заинтересованы в том, чтобы начать переход в облако, реализация Azure AD Application Proxy поможет сократить локальную инфраструктуру, предоставляя удаленный доступ как услугу.
Организациям следует начать использовать Application Proxy уже сегодня, чтобы воспользоваться следующими преимуществами.
Анализ сетевого трафика мобильного приложения на iOS. Часть 1 — прокси
Бывают ситуации, когда при разработке или тестировании мобильного приложения возникает необходимость просмотреть сетевой трафик приложения. Все еще просматриваете трафик мобильного приложения, выводя его в консоль вашей IDE? Для этой задачи есть более эффективные инструменты, например, прокси. В этой статье мы разберем самые популярные HTTP(S) прокси, научимся их использовать в iOS разработке, а также сравним их по различным критериям.
Далее мы будем говорить про применение прокси в iOS разработке, но многие вещи также применимы и в Android разработке.
Осторожно, под катом очень много картинок.
Инструменты, позволяющие анализировать сетевой трафик мобильного приложения, можно разделить на:
Это первая часть статьи, в которой мы рассмотрим использование прокси и сравним их по различным критериям. Во второй части статьи основательно пройдемся по фреймворкам для отладки.
Mitmproxy
Mitmproxy является бесплатным и опенсорсным (
12000 звезд на гитхабе) HTTP(S)-proxy, который состоит из непосредственно самого Mitmproxy — консольной утилиты для проксирования трафика, mitmdump — дополнительной консольной утилиты, представляющей функциональность похожую на tcpdump, но для HTTP(S) трафика, а также mitmweb — веб-интерфейса для Mitmproxy.
Установить Mitmproxy можно с помощью Homebrew:
brew install mitmproxy
Или загрузить нужную версию со страницы релизов с официального сайта.
После успешной установки для анализа HTTP трафика с симулятора или девайса необходимо указать прокси в настройках сети.
Небольшой bash-скрипт для быстрой активации/деактивации прокси в настройках сети для Wi-Fi на Mac. (Один раз прописали IP и порт прокси в настройках и затем используем из консоли команду proxy on или proxy off ).
Для перехвата трафика с реального девайса необходимо указать прокси в настройках сети iOS, при этом в качестве IP-адреса прокси указываем IP-адрес компьютера с запущенным Mitmproxy, в качестве порта — 8080. (IP-адрес компьютера можно посмотреть в Settings > Network)
На данном этапе мы уже можем перехватывать HTTP трафик, но для перехвата HTTPS трафика необходимо установить сертификаты Mitmproxy на симулятор/девайс.
Для этого на симуляторе выполним следующее(для реального девайса действия аналогичны):
Теперь мы можем анализировать HTTPS трафик с симулятора. Остается добавить небольшое уточнение: сертификат устанавливается для конкретного симулятора, то есть если мы сделали это только для симулятора iPhone X, то на симуляторе iPhone 8 нужно проделать то же самое, чтобы прокси перехватывал HTTPS трафик. Для перехвата HTTPS трафика с реального девайса все шаги аналогичны, главное, чтобы он был подключен к той же локальной сети, что и компьютер с Mitmproxy.
После этого можно запустить mitmproxy из консоли и почувствовать себя хакером или веб-клиент mitmweb.
Консольный клиент встречает нас ламповым интерфейсом (для любителей GUI есть даже поддержка мышки), где отображаются все перехваченные запросы.
Можно просмотреть детальную информацию по каждому запросу (параметры запроса, заголовки, ответ и т.д.)
Также поклонники Vim будут довольны поддержкой hjkl. Чуть не забыли про очень важный шорткат q — работает как кнопка «назад» при перемещении между экранами, а на главном экране со списком запросов при нажатии этого шортката Mitmproxy предложит выйти из программы.
Несмотря на консольный интерфейс пользоваться Mitmproxy одно удовольствие благодаря удобным шорткатам и простому интуитивному управлению. Ниже представлена небольшая таблица с основными шорткатами.
| Шорткат | Описание |
|---|---|
| ? | Cправка |
| z | Очистка списка текущей сессии |
| f | Фильтрация сессии |
| q | Назад (выход на главном экране) |
| d | Удалить запрос из списка сессии |
| r | Повторить запрос |
| e | Сохранить запрос в файл |
| g | В начало списка сессии |
| G | В конец списка сессии |
Если Вы все же ярый противник консоли и признаете только GUI приложения, то здесь к нам на помощь спешит mitmweb, запустим его пока также из консоли, позже можно сделать ярлык на рабочий стол.
Mitmproxy заявляет о поддержке стандарта Websocket, но к сожалению отображение Websocket фреймов в UI пока что не реализовано и по заверениям разработчиков функциональность Websocket доступна только для утилиты mitmdump.
Charles
Charles является пожалуй самым популярным HTTP(S) прокси для MacOS, единственный его недостаток — это то, что он платный, на момент написания статьи лицензия стоит 50$. Однако есть пробная версия — работает 30 минут, потом требуется перезапуск приложения, при этом теряется вся история запросов. Также имеются пятисекундные задержки при запуске.
После установки и первого запуска Charles попросит дать доступ для автоматической настройки системного прокси, выбираем «Grant privelegies», либо меняем настройки системного прокси каждый раз вручную. Таким образом Charles будет сам менять и активировать настройки системного прокси, когда он запущен — это удобно при отладке на симуляторе, но на реальном девайсе придется прописывать настройки прокси сервера для сети вручную, в качестве прокси-сервера указываем IP-адрес компьютера, на котором запущен Charles, в качестве порта — 8888.
На данном этапе мы можем просматривать только HTTP трафик, для анализа HTTPS трафика с симулятора или реального девайса, нам необходимо установить на него сертификат Charles, процедура аналогична установке сертификата Mitmproxy. Убедитесь, что прокси запущен и активирован в сетевых настройках iOS (для реального девайса) или в сетевых настройках macOS (для симулятора). Затем перейдем на симуляторе/девайсе в браузере по адресу chls.pro/ssl, появится алерт с сообщением, что данный веб-сайт пытается открыть настройки iOS: выбираем Allow. Далее выбираем Install, чтобы установить сертификат. После установки сертификата для iOS версии 10.3 и выше необходимо включить полный доступ к рутовому сертификату Charles. Для этого перейдем в Settings > General > About > Certificate Trust Settings и активируем полный доступ для сертификата Charles.
Чтобы разрешить SSl проксирование только для конкретных доменов нужно добавить их в список и убедиться, что wildcard локация отключена. При этом Charles будет все равно перехватывать весь трафик, но HTTPS запросы доменов, которых нет в списке не будут расшифровываться.
При использовании Charles удобно использовать фильтры перехвата трафика, которые можно настроить в меню Proxy > Recording Settings: можно указать протокол, URL, порт.
Теперь у нас есть возможность просматривать HTTPS трафик.
Также Charles поддерживает протокол Websocket и отображает сообщения в стиле iMessage, выглядит удобно.
Отдельного упоминания заслуживает первый в своем роде прокси Charles for iOS — мобильное версия Charles, ценник в App Store на момент написания статьи — 9$. В приложении присутствует базовый функционал десктопной версии: проксирование HTTP(S) трафика, просмотр контента запросов/ответов и удобная автоматическая установка настроек прокси для Wi-Fi сети.
Burp Suite (Community Edition)
После запуска приложения нужно добавить и активировать прокси, перейдя в Proxy > Options.
Затем необходимо убедиться, что выключен перехватчик запросов «Intercept», иначе он будет перехватывать запросы и удерживать их, пока Вы не скажете ему, что делать с этим запросом — отменить или переслать серверу. Поэтому выключаем его, сейчас он нам не понадобится.
Далее необходимо установить на симулятор/девайс сертификат Burp Suite, эта процедура нам уже должна быть до боли знакома после установки сертификатов Mitmproxy и Charles. Запускаем Burp Suite, при этом не забываем активировать прокси в настройках сети MacOS для симулятора или в iOS для реального девайса (как это сделать можно посмотреть в разделе Mitmproxy), в качестве прокси-сервера указываем IP-адрес компьютера, на котором запущен Burp Suite, в качестве порта — 8080. Затем переходим в браузер на симуляторе и вводим адрес http://burp. Далее кликаем по кнопке на сайте «CA Certificate» и скачиваем сертификат.
Затем устанаваливаем сертификат. После установки сертификата для iOS версии 10.3 и выше необходимо включить полный доступ к рутовому сертификату Burp Suite. Для этого перейдем в Settings > General > About > Certificate Trust Settings и активируем полный доступ для сертификата Burp Suite.
Проблему с форматированием JSON можно решить установкой плагина JSON Beautifier. Для установки перейдем во вкладку Extender > BApp Store найдем в списке плагинов JSON Beautifier и нажмем install.
Теперь появилась дополнительная вкладка JSON Beautifier с красивым JSON.
Burp Suite поддерживает протокол Websocket. Websocket сообщения можно найти в специальной вкладке Proxy > WebSockets history.
OWASP ZAP
Owasp ZAP — детище всемирно известного в среде кибер-безопасности сообщества Owasp, кроме того прокси имеет открытый исходный код. Owasp ZAP часто сравнивают с Burp Suite, но последнему он уступает в популярности. Owasp ZAP полностью бесплатен, нет каких-либо PRO версий по сравнению с Burp Suite.
После запуска приложения нужно проверить настройки прокси Preferences > Local Proxies, настройки по умолчанию должны выглядеть так.
Затем перейдем в Preferences > Dynamic SSL Certificates для экспорта SSL сертификата. Кликаем по кнопке Save и сохраняем сертификат, например, на рабочий стол.
Далее просто перетягиваем файл сертификата в симулятор и открывается окно с предложением установить сертификат, соглашаемся и устанавливаем. После установки сертификата для iOS версии 10.3 и выше необходимо включить полный доступ к рутовому сертификату OWASP ZAP. Для этого перейдем в Settings > General > About > Certificate Trust Settings и активируем полный доступ для сертификата OWASP ZAP.
Теперь у нас есть возможность просматривать HTTPS трафик. JSON к сожалению здесь не имеет красивого форматирования и мы пока что не смогли исправить эту ситуацию, на крайний случай можно использовать сторонний JSON formatter, например этот.
OWASP ZAP поддерживает протокол Websocket. Websocket сообщения можно найти в специальной вкладке WebSockets, там же удобно выбрать «канал» для фильтрации по домену.
SSL Pinning
Если в вашем приложении реализован SSL Pinning, то вы не увидите проксируемого трафика приложения, так как прокси использует собственный сертификат для SSL, в этом случае есть 4 варианта:
Итоги
Начнем с Charles. Пожалуй лучший прокси для тех, кому нужно, чтобы все работало из коробки и максимально user-friendly, хотя в некоторых моментах и Charles может удивить пользователя, функциональность прокси очень обширна, также он имеет самый красивый и нативный для macOS интерфейс из всех описанных в статье прокси. Если вы не против выложить 50$ за такой инструмент, то тогда это Ваш выбор.
Перейдем к Burp Suite. Мощнейшая тулза, по определенному функционалу и даже удобству использования в некоторых случаях смело дает фору Charles, кроме того имеется система расширения функционала в виде плагинов. Burp Suite с давних пор зарекомендовал себя, как очень надежный и точный инструмент в умелых руках. Если вам не хватает функционала вашего текущего прокси, то советую обратить внимание на данный экземпляр.
Настал черед Mitmproxy — молодой и перспективный прокси, активно набирающий популярность, который разрабатывает Open Source сообщество. Самый противоречивый из просмотренных нами прокси, но при этом не менее интересный. Mitmproxy выделяется от конкурентов безумно удобным, простым и функциональным консольным UI. Также есть возможность использовать веб-интерфейс Mitmweb, но он находится сейчас в Beta-тестировании из-за чего возможно редкое, но появление багов, отсутствует часть продвинутого функционала Mitmproxy (постепенно доделывается), а также он немного уступает в удобстве более нативным конкурентам. Также огорчила поддержка протокола Websocket, она как бы есть, но в UI отображения нет или мы просто не научились его готовить, так как не смогли заставить Mitmproxy отображать Websocket сообщения, хотя с другими прокси у нас таких проблем не было.
И последним в списке, но не менее интересным остался Owasp ZAP. Из плюсов можно отметить наличие расширяемой системы плагинов (субъективно их количество меньше чем для Burp Suite), но к сожалению мы так и не смогли настроить красивое отображение JSON в теле запросов/ответов, что является довольно критичным критерием при выборе прокси для мобильной разработки. Однако Owasp ZAP имеет продвинутую систему для тестирования Websocket трафика, а также громкое имя разработчиков сообщества Owasp за своей спиной, поэтому я бы не стал сбрасывать его со счетов и имел в виду для редких и сложных кейсов.
Ниже представлена субъективная сводная таблица, разобранных нами прокси.
| критерий/прокси | Mitmproxy | Charles | Burpsuite (CE) | Owasp ZAP |
|---|---|---|---|---|
| JSON форматирование | + | + | + | — |
| Редактирование и повтор запросов | + | + | + | + |
| Поддержка Websocket | — | + | + | + |
| Free software | + | — | + | + |
На этом будем заканчивать, надеемся, что статья будет полезной, также будем рады комментариям и если вы поделитесь своим опытом в области тестирования и мониторинга трафика мобильных приложений.
