Всем привет! Меня зовут Эрик, и я QA-инженер компании Creative. Сегодня хочу поднять тему анализаторов трафика или снифферов. Это понятие знакомо многим, как что-то вредноносное. В сети много публикаций про то, как лучше защищаться от снифферов и сохранять свои данные от хакерских атак.
В этой статье мы взглянем на анализаторы трафика немного под другим углом и разберём, как можно применять их в работе тестировщика.
Для вашего удобства я разделил статью на три раздела:
- познакомимся с принципом работы сниффера,
- рассмотрим основные фичи сниффера,
- разберём примеры использование сниффера в QA.
В качестве инструмента будем использовать Charles Proxy – кроссплатформенный http-прокси, который «сидит» между браузером (или мобильным приложением) и интернетом и перехватывает отправляемый и получаемый трафик (иллюстрация 1):
Иллюстрация 1
Принцип работы, или каким образом сниффер трафика справляется со своей задачей видеть всё
Благодаря тому что снифферы являются инструментами, которые позволяют перехватывать, анализировать и модернизировать все проходящие через них запросы, их удобно использовать в ситуациях, когда из потока нужно извлечь сведения или создать нужный ответ сервера.
Основы Wireshark. Настройка, захват и расшифровка трафика
Это работает так: браузер отправляет запрос, сниффер его «проксирует» и отправляет от своего лица пользователю. Далее приходит ответ от сервера – он тоже поступает сначала в сниффер, а затем – к нам.
Когда нам надо просмотреть запросы, например из localhost – проблем не возникает, так как там используется протокол HTTP в чистом виде. При использовании протокола HTTPS и SSL-сертификата данные может читать только отправитель и получатель. Поэтому, для того чтобы просмотреть данные по определённому URL, нужно включить в Charles опцию SSL-proxying – и тогда данные станут видны и читаемы (об этом подробнее расскажу дальше).
А теперь – о фичах сниффера Charles Proxy
Структура интерфейса
Интерфейс Charles Proxy прост. Слева – список перехваченных запросов, справа – детали. В списке запросов есть две основные вкладки – Structure и Sequence.
На вкладке Structure запросы рассортированы по хостам-папкам. Наведя на любой из них, можно получить всю информацию о количестве запросов к этому корневому хосту, доле удачных, таймингах, размерах и т.п. Фактически, здесь представлена вся та же информация, которую можно получить из панели разработчика в браузере. Нужно просто выбрать конкретный URL – и мы увидим код ответа, версии протоколов, контент и т.п. Тело запроса, заголовки, cookie (если есть) можно посмотреть в разных форматах – даже в HEX.
Так выглядит интерфейс – на подобных продуктах он будет схожим (иллюстрация 2):
Иллюстрация 2
На вкладке Sequence запросы выведены по времени в формате настраиваемой таблицы. Видно, когда начался запрос, сколько он длился, его размер, статус и т.п. Наведя на конкретную строку, мы получим ту же информацию о теле, заголовках, что на вкладке Structure (иллюстрация 3):
КАК СОЗДАТЬ ПРОСТЕЙШИЙ СНИФФЕР НА PHP?
Иллюстрация 3
В Charles Proxy очень много вариантов фильтрации запросов. Самое примитивное – это скопировать URL запроса в поле Filter, и мы будем видеть запросы только к этому хосту.
Примерно того же результата можно добиться, если в контекстном меню хоста выбрать Focus. Остальные запросы будут собраны в папке Other Hosts. Также Charles принимает регулярные выражения. Можно выбрать все запросы, в которых в начале имени хоста находится четыре буквы, а потом идёт точка: ^w. Также можно блокировать определенные хосты.
Например, я могу добавить наш тестовый стенд в blocklist, и все запросы с этого хоста будут со статусом failed (Connection dropped), либо вернутся с ошибкой 403.
Просмотр SSL-трафика
Вернёмся к фиче Charles Proxy, касающейся просмотра зашифрованного трафика. Это происходит очень простым путём: нужно установить SSL-сертификат в Charles proxy и включить SSL-proxying для нужного хоста в самом сниффере. Это можно сделать через контекстное меню конкретного хоста. Далее все запросы через него станут прозрачными, и мы сможем просмотреть тело запроса и ответа (иллюстрация 4):
Источник: vc.ru
Анализ трафика, снифферы на android БЕЗ ROOT?
Мне нужно проанализировать трафик в мобильном приложении vk. Я перепробовал разные программки, включается VPN, но при этом трафик не проходит (=страница не згружается, выходят ошибки). Я буду признателен за гайды, приложения или человека, который сможет сделать работу за меня 🙂
Небольшая оплата за труд возможна -.-
- Вопрос задан более года назад
- 4785 просмотров
Комментировать
Решения вопроса 0
Ответы на вопрос 2
1) чтобы прослушать ssl-траффик (https) необходимо в ОС (для chromium) или в браузер (для firefox) установить свой доверенный ssl-сертификат (от программы которой будем прослушивать)
2) в AndroidOS есть разделение на пользовательские (можно установить без root-доступа) и системные сертификаты (нельзя установить без root-доступа), «добрый» google начиная с 7 андроида сделал так, что пользовательские сертификаты не принимаются приложениями (без специального флага в манифесте каждого приложения).
3) Т.е. у вас есть 3 варианта решения: А) поставить root, сделать сертификат системным (программой MoveCerts или перекинуть вручную) Б) отредактировать APK конкретного приложения для доверия пользовательским сертификатам В) использовать VirtualXposed — он автоматически модифицирует устанавливаемые APK-файлы так, что SSL-верификация полностью отключается (могу ошибаться, но SSL-pinning точно отключает)
4) Новая технология SSL-pinning, которая обычно используется банковскими приложениями, это когда сертификат вшит прямо в APK. Решение: А) подменить сертификат на свой внутри APK Б) VirtualXposed В) Иногда работают Xposed-модули для отключения SSL-pinning: JustTrustMe, TrustMeAlready, SSL-Unpinning (модули давно не обновляются и очень вероятно уже не работают). Более того в особо гадких приложениях присутствует своя верификация SSL-pinning (например Авито или различных игровых), которую универсальными способами не обойти.
5) Иногда внутри SSL-соединения трафик зашифрован дополнительно (как telegram), т.е. кроме зашифрованного мусора там мало что можно увидеть
Ответ написан более года назад
Нравится 1 1 комментарий
Нашёл в интернете список различных сниферов:
- https://mitmproxy.org/
- https://www.zaproxy.org/
- https://www.wireshark.org/index.html#download
- https://www.telerik.com/fiddler
- https://portswigger.net/burp
- Charles ( https://rutracker.org/forum/viewtopic.php?t=5725919https://rutracker.org/forum/viewtopic.php?t=2114687 )
- PacketCapture ( https://4pda.to/forum/index.php?showtopic=759893 )
- HTTP Canary ( https://4pda.to/forum/index.php?showtopic=957572 )
- PCAPDroid ( https://f-droid.org/ru/packages/com.emanuelef.remo. )
- AdGuard ( https://strannikmodz.me/other_modz/sirenes_team/28. )»
Попробуйте это приложение: https://play.google.com/store/apps/details?id=app.
Ответ написан более года назад
Пробовал, проблема заключается в этом: «включается VPN, но при этом трафик не проходит (=страница не згружается, выходят ошибки)»
Павел Трушин, действительно с VK почему-то не хочет работать. Можно попробовать в виртуалку поставить андроид и ваиршарком смотреть трафик из виртуалки. Правда там кроме ВК будет еще куча всего.
Источник: qna.habr.com
Лучший сниффер-проект по взлому ВК/Facebook.
Всем привет. Это не рекламная статья, это лишь мое мнение, которым я хочу поделится с вами.
И так, начнем.
Все мы знаем что такое Сниффер/фишинг проекты, кто не знает, то это так скажем сервисы для тех, кто не умеет создавать фишинг ссылки для взлома вк и прочее.
Так же есть api (кто шарит, то поймет для чего)
Так же есть реклама в боте, ее можно заказать, как и что — найдете сами, бот удобен в использовании и понятен.
Спойлер: Реклама
Так же есть режим сна:
В режиме сна вы не будете получать логи от сниффера
Ваш аккаунт и уникальный alias по прежнему будут храниться в системе
4) реф система в боте:
рефералка
тут однозначно крутая:
20.48р за человека.
Вы только представьте, 5 человек — больше 100)
Вот и все, поведал вам своё мнение, объяснил почему для меня это Сниффер лучший — а выбор за вами.
Источник: dark2web.org