บทนำ (Overview)
บทความนี้นำเสนอวิธีการดักจับข้อมูล (Interception) ที่ส่งผ่านข้อมูลระหว่างโปรแกรม “Android” และฝั่งเครื่องให้บริการ (Server-side) ผ่าน “Proxy” ที่ชื่อว่า “Burp” ซึ่งโปรแกรม “Burp” สามารถใช้งานได้หลากหลายทั้ง “Android” “iOS” และ “Web Application” สามารถดูตัวอย่างการตั้งค่ากับ Web Browser ได้ที่บทความ How to set burp to intercept HTTP messages
ขั้นตอน (Steps)
- ลงโปรแกรม “Genymotion” และวิธีติดตั้ง “Emulator” ได้ที่ How to set Genymotion (Android emulator)
- ติดตั้ง “GoatDroid” สามารถติดตามได้ที่ How to set GoatDroid
- เราจะต้องตั้งค่า “Proxy” ที่โปแกรม Burp เมื่อเปิดโปรแกรมมาให้ไปที่ “Proxy > Options > Add หรือ Edit”
- จากนั้น ใส่หมาย “Port” ที่ต้องการ (Bind to port) และ “Specific Address” ตามที่เครื่องเราได้ “IP address” หรือเป็น “127.0.0.1”
- จากนั้นกลับมาที่ “Emulator” จะมาทำการตั้งค่า “Proxy” ให้กับ “Emulator” ไปยังโปรแกรม Burp
- ไปที่ “Settings” ใน “Emulator”
- จากนั้นเลือก “WiFi”
- คลิก “WiredSSID” ค้างไว้จะปรากฏ “Modify Network” ให้เลือกเมนูดังกล่าว
- ให้คลิกเลือก “Show advanced options”
- จากนั้นเลือก “Proxy” เป็น “Manual”
- ใส่ “Proxy hostname” และ “Proxy port” ตาม Burp
- กด “Save” ตามรูปดังนี้
- ลองเปิดโปรแกรม “GoatDroid” และล็อกอิน พบว่าเราสามารถเห็น “Username” และ “Password” ได้ดังรูป
