Shikata Ga Nai

Private? There is no such things.

モバイルアプリの検証環境をつくってみた②

Hello there, ('ω')ノ

 

昨日の続きで、手探り状態でUpstream Proxyの設定をすると。

うまく通信できたようにも思えるのですが、どうやら関係ないような。

なので、余計なことなのですが一応やってみたということで。

 

f:id:ThisIsOne:20211202082453p:plain

 

その後は、削除することに。

 

f:id:ThisIsOne:20211202082514p:plain

 

ちなみにBurpのCA証明書形式は「.der」なのですが。

Androidは、「.der」形式をサポートしていないようで。

拡張子を「cacert.cer」や「cacert.crt」に変更する必要があるようで。

そうすることで、スムーズにインストールできて。

 

なので、どちらが正しいのかどちらでもよいのかまではわかりませんが。

CAをBurpからエクスポートしてAndoroid端末に送るか。

Andoroid端末のブラウザで、下記にアクセスしてダウンロードするかで。

 http://burp

 

f:id:ThisIsOne:20211202211755p:plain

 

f:id:ThisIsOne:20211202211938p:plain

 

f:id:ThisIsOne:20211202212030p:plain

 

この時点で、CA証明書はAndroid端末に保存されているはずなので。

まずは、設定から。

 

f:id:ThisIsOne:20211202213333j:plain

 

暗号化というキーワードで検索して認証情報を。

 

f:id:ThisIsOne:20211202213400j:plain

 

ここから証明書のインストールを行うことに。

 

f:id:ThisIsOne:20211202213433j:plain

 

CA証明書のメニューを選択して。

 

f:id:ThisIsOne:20211202213451j:plain

 

インストールを選択した後に、本人確認をして。

 

f:id:ThisIsOne:20211202213508j:plain

 

CA証明書の拡張子が変更されていなかったら変更してから選択を。

これで証明書関係は、うまくいくのかと。

 

f:id:ThisIsOne:20211202213528j:plain

 

気持ち悪いのは、大量のエラーメッセージで。

さらにAndroidのブラウザ経由だとすんなりとページにアクセスできるものの。

ブラウザ以外のアプリだと通信できなくて。

その原因となるメッセージが下記のとおりで。

 

 The client failed negotiate a TLS connection to

 

f:id:ThisIsOne:20211202175524p:plain

 

いろいろと触っているうちにわかったのが。

TLS PassのAutomaticallyにチェックを入れると自動で追加されるみたいで。

 

f:id:ThisIsOne:20211202175602p:plain

 

これでうまく通信できる環境は整ったような。

次回は、実際にテスト用のアプリをインストールして脆弱性が確認できたらと。

 

f:id:ThisIsOne:20211202211312p:plain

 

Best regards, (^^ゞ