Импорт HTTP Archive (HAR) в Burp Suite
Для начала, всех с наступившим годом и практически прошедшим первым месяцем работы. Надеюсь, что у вас он оказался таким же плодотворным, как и у меня 🥳
Ну, а в качестве первого поста в этом году, я хотел бы поделиться некоторыми нашими наработками. А именно - импортом файлов формата HAR в Burp Suite для дальнейшего анализа и сканирования API.
Во время автоматического анализа мобильных приложения мы перехватываем трафик и снимаем SSL Pinning, ну а потом переводит всё сетевое общение бэка и приложения в удобный читаемый формат. В планах самим проводить различные проверки безопасности API, но пока это находится в разработке, мы используем интеграции с другими системами динамического анализа (DAST). Интеграция - выгрузить сетевые запросы в таком формате, чтобы их смогли импортировать к себе различные Web-сканеры.
Таким форматом и стал HTTP архив. Это достаточно стандартный формат, самый простой способ его получить это открыть "Инструменты разработчика" в браузере и на вкладке Networking выбрать пункт "Save as HAR". В результате мы получим некоторый json-файлик, который будет содержать все request/response с заголовками и т.д. Различные Enterprise инструменты вроде Acunetix, Netsparker и остальные умеют парсить такой формат и на его основе проводить сканирование.
Я был достаточно сильно удивлен, что в BurpSuite нельзя его импортировать (а может просто плохо искал). Есть вот такой плагин, но для него нужно сначала конвертировать HAR в csv, а только потом уже импортить его (при этом часть данных у меня терялась).
В итоге, мы написали свой плагин для того, чтобы в SiteMap берпа можно было импортировать чистый HAR и дальше запускать скан или делать то, что обычно делают =) У плагина есть две версии, для GUI и для headless режима, что может быть удобным для дальнейшей автоматизации.
Теперь станет чуть удобнее отправлять собранный трафик в Burp и "краулить" API, достаточно просто в браузере мышкой потыкать и сохранить все запросы 🤓
А тем, кто в компаниях занимается AppSec есть небольшой бонус. Если в вашей компании используются UI-тесты (например каким-нибудь Selenium), то можно в них добавить небольшое изменение и они будут сохранять HAR-файлы с трафиком, который происходил во время прогона тестов. Дальше их можно автоматически забирать, отдавать в Burp и проводить активное сканирование. В зависимости от покрытия автотестами, можно каждую сборку после автотестов прогонять на безопасность и иметь всегда актуальный снимок трафика вашего приложения. Ну а можно просто с тестировщиками договориться, что бы они при прогоне ручных тестов сохраняли из браузера этот HAR-файлик.
Надеюсь, что кому-то эта информация и эти плагины помогут в построении процессов безопасной разработки или немного упростят жизнь, ну а мы планируем их поддерживать и дальше развивать.
Всем хорошей пятницы 😁
#stingray #traffic #burp #har
Для начала, всех с наступившим годом и практически прошедшим первым месяцем работы. Надеюсь, что у вас он оказался таким же плодотворным, как и у меня 🥳
Ну, а в качестве первого поста в этом году, я хотел бы поделиться некоторыми нашими наработками. А именно - импортом файлов формата HAR в Burp Suite для дальнейшего анализа и сканирования API.
Во время автоматического анализа мобильных приложения мы перехватываем трафик и снимаем SSL Pinning, ну а потом переводит всё сетевое общение бэка и приложения в удобный читаемый формат. В планах самим проводить различные проверки безопасности API, но пока это находится в разработке, мы используем интеграции с другими системами динамического анализа (DAST). Интеграция - выгрузить сетевые запросы в таком формате, чтобы их смогли импортировать к себе различные Web-сканеры.
Таким форматом и стал HTTP архив. Это достаточно стандартный формат, самый простой способ его получить это открыть "Инструменты разработчика" в браузере и на вкладке Networking выбрать пункт "Save as HAR". В результате мы получим некоторый json-файлик, который будет содержать все request/response с заголовками и т.д. Различные Enterprise инструменты вроде Acunetix, Netsparker и остальные умеют парсить такой формат и на его основе проводить сканирование.
Я был достаточно сильно удивлен, что в BurpSuite нельзя его импортировать (а может просто плохо искал). Есть вот такой плагин, но для него нужно сначала конвертировать HAR в csv, а только потом уже импортить его (при этом часть данных у меня терялась).
В итоге, мы написали свой плагин для того, чтобы в SiteMap берпа можно было импортировать чистый HAR и дальше запускать скан или делать то, что обычно делают =) У плагина есть две версии, для GUI и для headless режима, что может быть удобным для дальнейшей автоматизации.
Теперь станет чуть удобнее отправлять собранный трафик в Burp и "краулить" API, достаточно просто в браузере мышкой потыкать и сохранить все запросы 🤓
А тем, кто в компаниях занимается AppSec есть небольшой бонус. Если в вашей компании используются UI-тесты (например каким-нибудь Selenium), то можно в них добавить небольшое изменение и они будут сохранять HAR-файлы с трафиком, который происходил во время прогона тестов. Дальше их можно автоматически забирать, отдавать в Burp и проводить активное сканирование. В зависимости от покрытия автотестами, можно каждую сборку после автотестов прогонять на безопасность и иметь всегда актуальный снимок трафика вашего приложения. Ну а можно просто с тестировщиками договориться, что бы они при прогоне ручных тестов сохраняли из браузера этот HAR-файлик.
Надеюсь, что кому-то эта информация и эти плагины помогут в построении процессов безопасной разработки или немного упростят жизнь, ну а мы планируем их поддерживать и дальше развивать.
Всем хорошей пятницы 😁
#stingray #traffic #burp #har
Анализ трафика Android-сматрфона
Крайне занимательная статья вышла на Хабр под названием "Анализ трафика телеметрической информации Android смартфона".
Автор взял обычный телефон со сброшенной к заводским установкам прошивкой и установленным пакетом российского ПО, без синхронизированных учётных записей. То есть по факту - телефон из "магазина" и проверил, кто и что отправляет в фоне на сервера, какую информацию, какие данные об устройстве, активности и т.д.
Крайне занимательно, что запросов и данных передается достаточно много (что не удивительно), но еще интереснее исследование было бы с десятком установленных приложений. Боюсь, что там целая армия исследователей понадобилась бы, чтобы все данные проанализировать. Ну или просто взять "голый" Xiaomi и умереть от количества информации, что все его стоковые приложения шлют :D
В общем, очень интересно почитать)
#Android #Telemetry #traffic
Крайне занимательная статья вышла на Хабр под названием "Анализ трафика телеметрической информации Android смартфона".
Автор взял обычный телефон со сброшенной к заводским установкам прошивкой и установленным пакетом российского ПО, без синхронизированных учётных записей. То есть по факту - телефон из "магазина" и проверил, кто и что отправляет в фоне на сервера, какую информацию, какие данные об устройстве, активности и т.д.
Крайне занимательно, что запросов и данных передается достаточно много (что не удивительно), но еще интереснее исследование было бы с десятком установленных приложений. Боюсь, что там целая армия исследователей понадобилась бы, чтобы все данные проанализировать. Ну или просто взять "голый" Xiaomi и умереть от количества информации, что все его стоковые приложения шлют :D
В общем, очень интересно почитать)
#Android #Telemetry #traffic
Хабр
Анализ трафика телеметрической информации Android смартфона
Сбор телеметрических данных о пользователях и их действиях в вебе и приложениях — плата за пользование «бесплатными» сервисами в Интернете. Пользователи расплачиваются своим вниманием и временем,...
👍7🔥2
Плагин для Magisk - перехват трафика Flutter-приложений
Всем привет!
Недавно мне написал @mike_fpv с крутой историей про то, что они сделали! А именно, удобный плагинчик для перехвата трафика Flutter-приложений. Все мы знаем, что флаттер игнорирует системные настройки проксирования и нужно либо патчить приложение reFlutter-ом, либо ручками настраивать iptables (там где они есть).
История создания плагина от автора:
Ну и собственно ссылка на сам плагин:
https://github.com/czuryk/IPTUpdaterPlugin/
Вот побольше бы таких людей, кто делает вещи, которые нам очень помогают. Спасибо большое @mike_fpv!
#Flutter #Android #Traffic
Всем привет!
Недавно мне написал @mike_fpv с крутой историей про то, что они сделали! А именно, удобный плагинчик для перехвата трафика Flutter-приложений. Все мы знаем, что флаттер игнорирует системные настройки проксирования и нужно либо патчить приложение reFlutter-ом, либо ручками настраивать iptables (там где они есть).
История создания плагина от автора:
Хочу поделится информацией о своем плагине, который мне очень помогает в регулярной работе с перхватом траффика флаттер приложений. C коллегой, настраивали перехват флаттер трафика на одном из устройств и я с удивлением обнаружил, что оказывается ProxyDroid вообще выпилили из Google Store. Суть в том, что для флаттера не достаточно только прописать прокси в настройках вай-фай, но так же нужно менять маршрутизацию на самом устройстве, и раньше для этого служил ProxyDroid, но на SamsungS24 + Android 14 я обнаружил, что он только делает вид что работает, но по факту ничего не делает. Помучившись с изменением iptables вручную через коммандную строку, я написал свой плагин для Магиска. Его суть довольно простая - отслеживать изменение конфигурации для файфая и автоматически патчить iptables на нужные параметры. В итоге я пользуюсь им сам уже более 2х месяцев и только положительные впечатления, когда переключаюсь на разные компы и разные прокси, переключение происходит максимально бесшовно. Уверен кому то тоже пригодится, особенно, когда ProxyDroid стал недоступен.
Ну и собственно ссылка на сам плагин:
https://github.com/czuryk/IPTUpdaterPlugin/
Вот побольше бы таких людей, кто делает вещи, которые нам очень помогают. Спасибо большое @mike_fpv!
#Flutter #Android #Traffic
GitHub
GitHub - czuryk/IPTUpdaterPlugin: Magisk Plugin for Updating iptables When Proxy Changes
Magisk Plugin for Updating iptables When Proxy Changes - czuryk/IPTUpdaterPlugin
🔥10👍4❤2