Android mobil uygulamların birçoğu arka planda sunucu ile haberleşmede http protokolü kullanır. Bu yüzden mobil uygulama testlerinde burp suite veya zad attack proxy (zap) gibi web proxy araçları kullanılarak rahatlıkla test edilebilir.
Bunun için web proxy kurulu pc veya notebook sistemimiz ile mobil cihaz ile sunucu arasına girersek gelen giden trafik üzerinde her türlü hakimiyeti elimize almış oluruz. Parametrelere çeşitli payloadlar gönderilerek dönen cevaplar yorumlanarak çeşitli güvenlik açıkları tespit edilebilir.
Web proxy kurulu notebook ile mobil cihaz ve sunucu arasına girmek için aşağıdaki adımlar uygulanabilir.
Araya girebileceğimiz notebook üzerine zap veya burp suite benzeri bir web proxy aracı kurulabilir. Biz makalelede ZAP proxy tercih ettik.
Zap üzerinden proxy ayarlarını aşağıdaki gibi yapıyoruz. Notebook yerel IP adresini ve port numarasını aşağıdaki gibi set ediyoruz.
![]()
Zap ile araya gireceğimizden dolayı zap tarafından gönderilen sertfikanın android cihazımızda güvenilebilmesi için trust sertfikalar arasına almalıyız. Bunun için ZAP üzerinden aşağıdaki gibi sertfika export edilebilir.(.cer uzantılı olacak şekilde.)
![]()
Bu .cer uzantılı sertfikayı android cihazımıza indirip SD Card içerisine kopyalamamız gerekmektedir. Sd card'a kopyalamakla komut satırından boğuşmamak için için 'Send To SD Card' uygulaması kullanılabilir.
![]()
![]()
Daha sonra android cihazımız üzerinde aşağıdaki yol takip edilerek owasp zap tarafından üretilen dinamik ssl sertfikamızın android cihazımız tarafından güvenilir sertfikalar arasına almak gerekir.
Uygulamalar/Ayarlar/Kişisel/Güvenlik/Kimlik Bilgisi Depolama/Cihaz Belleğinden Yükle yolu takip edildiğinde sdcard daki sertfika dosyaları aranır ve cihazımız tarafından güvenilen sertfikalar arasına eklenir.
![]()
![]()
Bundan sonra yapılması gerken kablosuz ağ bağlantısı için proxy ayarı girilmesi gerekir. Bunun için
Bundan sonra android cihazımızda Wi-Fi üzerinde aşağıdaki gibi proxy ayarları yapılır. Bunun için Uygulamalar/Ayarlar/Wi-fi altındaki bağlantı yapılacak kablosuz ağ seçilir. Burada mevcut ayarları unut denilip tekrar kurulurken ileri düzey seçeneklerinden proxy ayarları girilir.
![]()
![]()
![]()
Owasp zap proxy için belirlediğimiz ayarlar (3.3.3.12:8080) aynı şekilde Wifi proxy ayarları olarakta girilir. Bundan sonra android cihazımızın http/https trafiği bu IP ve porta gidecektir. Bu şekilde trafiği üzerimizden geçirip bundan sonra normal web uygulaması test eder gibi testlerimize devam edebiliriz. Manuel payloadlar gönderilebileceği gibi otomatize olarakta zaafiyet taraması gerçekleştirilebilir.
Güvenlik testi uygulamamız için örnek olarak dropbox android uygulaması kullanılmıştır. İlgili android uygulamasını açıp login olalım ve oluşan https trafiğini zap üzerinden geçtiğini görelim ve bundan sonra taramalar web uygulama testlerine benzer devam ettirilebilir.
![]()
![]()
Login formundan girilen kullanıcı adı ve parola bilgisi aşağıda görüldüğü gibi araya girdiğimiz için artık bizim üzerimizden hedefe gidecektir.
![]()
Yakalanan http post datası active scan node denilerek güvenlik açıklıkları için taranabilir.
![]()
Fırat Celal ERDİK <celal.erdik@bga.com.tr>
Bunun için web proxy kurulu pc veya notebook sistemimiz ile mobil cihaz ile sunucu arasına girersek gelen giden trafik üzerinde her türlü hakimiyeti elimize almış oluruz. Parametrelere çeşitli payloadlar gönderilerek dönen cevaplar yorumlanarak çeşitli güvenlik açıkları tespit edilebilir.
Web proxy kurulu notebook ile mobil cihaz ve sunucu arasına girmek için aşağıdaki adımlar uygulanabilir.
Araya girebileceğimiz notebook üzerine zap veya burp suite benzeri bir web proxy aracı kurulabilir. Biz makalelede ZAP proxy tercih ettik.
Zap üzerinden proxy ayarlarını aşağıdaki gibi yapıyoruz. Notebook yerel IP adresini ve port numarasını aşağıdaki gibi set ediyoruz.
Zap ile araya gireceğimizden dolayı zap tarafından gönderilen sertfikanın android cihazımızda güvenilebilmesi için trust sertfikalar arasına almalıyız. Bunun için ZAP üzerinden aşağıdaki gibi sertfika export edilebilir.(.cer uzantılı olacak şekilde.)
Bu .cer uzantılı sertfikayı android cihazımıza indirip SD Card içerisine kopyalamamız gerekmektedir. Sd card'a kopyalamakla komut satırından boğuşmamak için için 'Send To SD Card' uygulaması kullanılabilir.
Daha sonra android cihazımız üzerinde aşağıdaki yol takip edilerek owasp zap tarafından üretilen dinamik ssl sertfikamızın android cihazımız tarafından güvenilir sertfikalar arasına almak gerekir.
Uygulamalar/Ayarlar/Kişisel/Güvenlik/Kimlik Bilgisi Depolama/Cihaz Belleğinden Yükle yolu takip edildiğinde sdcard daki sertfika dosyaları aranır ve cihazımız tarafından güvenilen sertfikalar arasına eklenir.
Bundan sonra yapılması gerken kablosuz ağ bağlantısı için proxy ayarı girilmesi gerekir. Bunun için
Bundan sonra android cihazımızda Wi-Fi üzerinde aşağıdaki gibi proxy ayarları yapılır. Bunun için Uygulamalar/Ayarlar/Wi-fi altındaki bağlantı yapılacak kablosuz ağ seçilir. Burada mevcut ayarları unut denilip tekrar kurulurken ileri düzey seçeneklerinden proxy ayarları girilir.
Owasp zap proxy için belirlediğimiz ayarlar (3.3.3.12:8080) aynı şekilde Wifi proxy ayarları olarakta girilir. Bundan sonra android cihazımızın http/https trafiği bu IP ve porta gidecektir. Bu şekilde trafiği üzerimizden geçirip bundan sonra normal web uygulaması test eder gibi testlerimize devam edebiliriz. Manuel payloadlar gönderilebileceği gibi otomatize olarakta zaafiyet taraması gerçekleştirilebilir.
Güvenlik testi uygulamamız için örnek olarak dropbox android uygulaması kullanılmıştır. İlgili android uygulamasını açıp login olalım ve oluşan https trafiğini zap üzerinden geçtiğini görelim ve bundan sonra taramalar web uygulama testlerine benzer devam ettirilebilir.
Login formundan girilen kullanıcı adı ve parola bilgisi aşağıda görüldüğü gibi araya girdiğimiz için artık bizim üzerimizden hedefe gidecektir.
Yakalanan http post datası active scan node denilerek güvenlik açıklıkları için taranabilir.
Fırat Celal ERDİK <celal.erdik@bga.com.tr>