การดัก HTTP traffic ของโปรแกรม Android และ iOS โดยใช้ reFlutter

เมื่อต้องการวิธีการดัก HTTP traffic ที่เขียนด้วย Flutter แล้วเกิดปัญหาดักไม่ได้ แล้วต้องรีบหาวิธีอย่างเร่งด่วน ทำให้เกิดอาการ กระสับกระสาย คล้ายจะเป็นร้อนใน วิธีการหนึ่งอาจช่วยให้การทดสอบของท่านราบรื่นขึ้นได้ และสามารถทำได้อย่างรวดเร็ว

อ่านเพิ่มเติม

Bypass Certificate Pinning on a Flutter-based iOS App

ไม่กี่ปีที่ผ่านมาผมกับทีมได้มีโอกาสทดสอบความปลอดภัยให้กับแอปที่ถูกพัฒนาด้วยเฟรมเวิร์ค Flutter เราติดปัญหาเรื่องการ bypass certificate pinning เพราะตอนนั้นยังแทบไม่มีบทความหรือ research เกี่ยวกับการ penetration test แอปที่เขียนด้วย Flutter เลย แต่ยังโชคดีที่ project lead ของผมเค้าไปหาวิธีมาจนได้จาก blog ของ NVSIO (https://blog.nviso.eu/2020/06/12/intercepting-flutter-traffic-on-ios/). แต่พอมาเร็ว ๆ นี้ผมเริ่มรู้สึกกลับมาติดปัญหาเรื่องนี้อีกครั้ง วันนี้จะพามาดูวิธีที่ผมใช้เพื่อ bypass certificate pinning ของ iOS app ที่เขียนด้วย Flutter กัน

อ่านเพิ่มเติม

How to intercept the HTTP traffic via WireGuard

บทความนี้กล่าวถึงวิธีการดักจับข้อมูลผ่านโปรแกรม Burp Suite โดยโปรแกรมมีการป้องกันที่เรียกว่า Proxy-aware ตัวอย่างเช่นโปรแกรมที่ถูกเขียน Flutter เป็นต้น เพื่อให้นักทดสอบเจาะระบบสามารถที่จะดักจับและวิเคราะห์ข้อมูล การส่งและรับระหว่าง Application และ Server ได้

อ่านเพิ่มเติม

ความเสี่ยงที่ครอบคลุมในการทดสอบเจาะระบบ – Mobile Application

ในการประเมินช่องโหว่และทดสอบเจาะระบบในโปแกรมบนเครื่องโทรศัพท์มือถือ (Mobile application) และเครื่องให้บริการที่เกี่ยวข้อง (Servers) จะครอบคลุมความเสี่ยงที่พบมากสุดตาม “OWASP Top 10 Mobile Application Security Risks – 2016” ดังต่อไปนี้

อ่านเพิ่มเติม