การดัก HTTP traffic ของโปรแกรม Android และ iOS โดยใช้ reFlutter

เมื่อต้องการวิธีการดัก HTTP traffic ที่เขียนด้วย Flutter แล้วเกิดปัญหาดักไม่ได้ แล้วต้องรีบหาวิธีอย่างเร่งด่วน ทำให้เกิดอาการ กระสับกระสาย คล้ายจะเป็นร้อนใน วิธีการหนึ่งอาจช่วยให้การทดสอบของท่านราบรื่นขึ้นได้ และสามารถทำได้อย่างรวดเร็ว

อ่านเพิ่มเติม

Bypass Certificate Pinning on a Flutter-based iOS App

ไม่กี่ปีที่ผ่านมาผมกับทีมได้มีโอกาสทดสอบความปลอดภัยให้กับแอปที่ถูกพัฒนาด้วยเฟรมเวิร์ค Flutter เราติดปัญหาเรื่องการ bypass certificate pinning เพราะตอนนั้นยังแทบไม่มีบทความหรือ research เกี่ยวกับการ penetration test แอปที่เขียนด้วย Flutter เลย แต่ยังโชคดีที่ project lead ของผมเค้าไปหาวิธีมาจนได้จาก blog ของ NVSIO (https://blog.nviso.eu/2020/06/12/intercepting-flutter-traffic-on-ios/). แต่พอมาเร็ว ๆ นี้ผมเริ่มรู้สึกกลับมาติดปัญหาเรื่องนี้อีกครั้ง วันนี้จะพามาดูวิธีที่ผมใช้เพื่อ bypass certificate pinning ของ iOS app ที่เขียนด้วย Flutter กัน

อ่านเพิ่มเติม

ดึงไฟล์ .apk จาก Play Store

เมื่อต้องการไฟล์ apk จาก Play Store เราสามารถดึง application ได้เลยโดยไม่จำเป็นต้องติดตั้งบนเครื่อง Android ก่อนและค่อยดึง ออกมาเป็น apk จากเครื่องอีกครั้ง เพื่อลดระยะเวลาแจกจ่าย app สำหรับการทำทดสอบ หรือการไป Reverse Engineering และ Patching

อ่านเพิ่มเติม

ตั้งค่า Proxy ของ เครื่องโทรศัพท์ Android โดยใช้คำสั่ง

เมื่อต้องการตั้งค่า Proxy เพื่อดักจับข้อมูลของเครื่องโทรศัพท์ android แล้วบางทีเราต้องการปลดค่า และตั้งใหม่ วนไปแบบนี้ อาจเกิดความลำบากในการตั้งซ้ำ ๆ เป็นประจำ วิธีการดังกล่าวอาจช่วยลดระยะเวลาการตั้งค่าเพื่อนำไปสู่การทดสอบที่ง่ายขึ้น

อ่านเพิ่มเติม

How to setup Frida for Android Studio Emulator (AVD)

สำหรับการใช้งาน Android Virtual Device (AVD) ในงาน Penetration Test นอกจากการ Root AVD แล้วยังมีการติดตั้ง Frida Server บน AVD อีกด้วย ในบทความนี้จะกล่าวถึงขั้นตอนการการติดตั้ง Frida Server บน AVD ที่ได้ทำการ Root เป็นที่เรียบร้อยแล้ว How to root Android Studio Emulator (AVD) with Magisk รวมถึงการติดตั้ง Frida Client ที่เครื่อง Host ที่เป็น Windows

อ่านเพิ่มเติม