คลังความรู้สู่นักทดสอบเจาะระบบ
Free Knowledge-Sharing Initiative
บทความนี้นำเสนอ Script ที่พัฒนาขึ้นเพื่อการติดตั้ง Burp Suite บน Android โดยใช้ LazyFrida ซึ่งมีความสามารถในการตรวจสอบการเชื่อมต่อผ่าน ADB, สถานะการ root ของอุปกรณ์, ดาวน์โหลดและติดตั้งใบรับรอง CA ของ Burp Suite บน Android และทำการรีบูตอุปกรณ์ผ่าน ADB ทั้งหมดนี้ทำให้การติดตั้ง Burp Suite บน Android เร็วขึ้นและสะดวกมากยิ่งขึ้น
เราสามารถตรวจสอบ หรือข้อความของ Public Key ของ Certificate ที่ Export มาจากโปรแกรม Proxy อย่าง Burp Suite โดยใช้โปรแกรม OpenSSL ทั้ง Windows และ Kali Linux โดยไม่อยากนัก เพื่อนำไปสู่การเตรียมการโจมตีอย่างเช่นการ Bypass Certificate Pining ของ Mobile Application ได้เช่นกัน
TLS Certificate Pinning ช่วยทำให้แอปสามารถตรวจสอบได้ว่าบริการ TLS/SSL ที่กำลังจะเชื่อมต่อนั้นเป็นเป็นบริการที่รันอยู่บน server เดียวกันกับที่แอปรู้จักไหม เพื่อป้องกันการดัก traffic ด้วย proxy ในเบื้องต้นก่อน (ความเป็นจริงแล้วการ implement security control ฝั่ง client side มันย่อมมีแนวโน้มว่าจะถูก bypass ได้ แต่ทำไว้ยังดีกว่าไม่ทำเลย) หลายครั้งที่ต้องเรสประเด็นว่าแอปไม่มีการตรวจสอบ TLS certificate ของบริการ TLS/SSL ที่ตัวมันต้องเชื่อมต่อยิ่งเป็นแอปที่มีความสำคัญพวก financial app แล้วยิ่งต้องถูกกำกับด้วยข้อบังคับต่าง ๆ นานา ผู้พัฒนาแอปจึงจำเป็นที่ต้องพัฒนาแอปให้สอดคล้องกับข้อบังคับเหล่านั้น
Blog นี้จะเป็นการแชร์ประสบการณ์การเตรียมสอบ CREST Practitioner Security Analyst (CPSA) และวิธีใช้ OSCP คู่กับ CPSA ยื่นขอ CREST Registered Penetration Tester (CRT) นะครับ
บทความนี้นำเสนอการติดตั้ง Burp CA as a system-level บน android emulator เพื่อแก้ไขปัญหาในกรณีที่ application ไม่ได้ติด certificate pinning แต่ traffic ไม่วิ่งผ่าน burp ในระหว่างการทำ mobile penetration testing.