คลังความรู้สู่นักทดสอบเจาะระบบ
Free Knowledge-Sharing Initiative
เมื่อต้องการวิธีการดัก HTTP traffic ที่เขียนด้วย Flutter แล้วเกิดปัญหาดักไม่ได้ แล้วต้องรีบหาวิธีอย่างเร่งด่วน ทำให้เกิดอาการ กระสับกระสาย คล้ายจะเป็นร้อนใน วิธีการหนึ่งอาจช่วยให้การทดสอบของท่านราบรื่นขึ้นได้ และสามารถทำได้อย่างรวดเร็ว
ไม่กี่ปีที่ผ่านมาผมกับทีมได้มีโอกาสทดสอบความปลอดภัยให้กับแอปที่ถูกพัฒนาด้วยเฟรมเวิร์ค Flutter เราติดปัญหาเรื่องการ bypass certificate pinning เพราะตอนนั้นยังแทบไม่มีบทความหรือ research เกี่ยวกับการ penetration test แอปที่เขียนด้วย Flutter เลย แต่ยังโชคดีที่ project lead ของผมเค้าไปหาวิธีมาจนได้จาก blog ของ NVSIO (https://blog.nviso.eu/2020/06/12/intercepting-flutter-traffic-on-ios/). แต่พอมาเร็ว ๆ นี้ผมเริ่มรู้สึกกลับมาติดปัญหาเรื่องนี้อีกครั้ง วันนี้จะพามาดูวิธีที่ผมใช้เพื่อ bypass certificate pinning ของ iOS app ที่เขียนด้วย Flutter กัน
บทความนี้กล่าวถึงวิธีการดักจับข้อมูลผ่านโปรแกรม Burp Suite โดยโปรแกรมมีการป้องกันที่เรียกว่า Proxy-aware ตัวอย่างเช่นโปรแกรมที่ถูกเขียน Flutter เป็นต้น เพื่อให้นักทดสอบเจาะระบบสามารถที่จะดักจับและวิเคราะห์ข้อมูล การส่งและรับระหว่าง Application และ Server ได้
ในการประเมินช่องโหว่และทดสอบเจาะระบบในโปแกรมบนเครื่องโทรศัพท์มือถือ (Mobile application) และเครื่องให้บริการที่เกี่ยวข้อง (Servers) จะครอบคลุมความเสี่ยงที่พบมากสุดตาม “OWASP Top 10 Mobile Application Security Risks – 2016” ดังต่อไปนี้
บทความนี้กล่าวถึงวิธีติดตั้ง openvpn บน kali version ใหม่ และติด openvpn บน ios เพื่อให้สามารถเชื่อมต่อกันได้