[PYTHON] Essayez de falsifier les demandes de l'iPhone avec Burp Suite

introduction

Utilisez Burp Suite pour falsifier les demandes de l'iPhone Je vais laisser quelque chose comme un mémo tutoriel.

Ce sera une expérience avec iphone et pc connectés dans le même environnement wifi.

• Ceci est juste une expérience dans votre propre environnement.
• Puisque le fichier est laissé sur github, vous pouvez expérimenter dans le même environnement, veuillez le faire à vos risques et périls m (_ _) m

Résumé de la procédure facile --Lancement de l'application Web Flask avec Docker

• Lancer un proxy avec burp suite --Paramètres proxy sur iphone
• Essayez de falsifier

Je le ferai selon le flux de.

environnement

• macOS High Sierra 10.13.6
• Burp Suite Community Edition 2.1.04

introduction

• burp suite
• docker

Soyez prêt à utiliser. J'omettrai l'explication.

Environnement

J'ai publié cette application web expérimentale sur github Je vais l'apporter.

Ce sera une application Web appropriée pour flask.

github url https://github.com/yuucu/burp_test

terminal

git clone https://github.com/yuucu/burp_test.git

Lancer l'application Web

terminal

cd burp_test
docker-compose up --build

Demandez à votre navigateur d'accéder à «http: // localhost: 5000» et Si vous voyez l'application de tableau d'affichage (), le lancement est réussi.

Vérifiez également l'accès depuis l'iPhone.

• L'accès n'est possible que si le PC et l'iPhone sont sur le même réseau.

Lancez un autre terminal sur votre PC et vérifiez votre adresse IP privée avec ʻifconfig`.

Pour mac, il existe également une adresse IP privée ici.

Quand j'essaye d'accéder avec ʻadresse IP: 5000 (numéro de port) ʻ dans le navigateur de l'iphone Vous devriez voir l'écran ci-dessous.

Nous avons confirmé le lancement de l'application Web. Lorsque vous quittez, vous pouvez arrêter le serveur avec ctrl -c.

Configurer un serveur proxy dans Burp Suite

Lancez Burp.

Cliquez sur Proxy-> Options.

Sélectionnez-en un et cliquez sur Modifier.

Sélectionnez Toutes les interfaces et cliquez sur OK.

Si vous pouvez confirmer l'écran suivant en accédant à l'adresse IP précédente: 8080 Le serveur proxy est en cours d'exécution.

paramètres proxy iPhone

Configurez la communication de l'iPhone pour qu'elle passe par un serveur proxy.

Appuyez sur le bouton info.

Configurez le proxy.

Définissez l'adresse IP privée et le numéro de port 8080 du PC.

Sauvegardez et vous avez terminé.

Essayez de falsifier la demande

Assurez-vous que le bouton ci-dessous est enfoncé dans Burp. Lorsque ce bouton est enfoncé, il est en mode pour arrêter la communication et vérifier le contenu avec burp.

Si vous accédez à l'adresse IP privée du PC: 5000 depuis l'iPhone dans cet état C'est comme suit en rot de pc. Cliquez sur «Suivant» comme vous pouvez le faire passer.

Si vous pouvez accéder à l'application Web, essayez d'envoyer un message depuis votre iPhone.

Vérifiez le contenu du côté du rot. Puisque vous pouvez vérifier le contenu publié, essayez de réécrire la valeur.

Cliquez sur Paramètres

Modifiez la valeur.

Après l'édition, envoyez une communication avec Forward.

Lorsque je vérifie l'écran après l'envoi avec l'iphone, Vous pouvez voir que le message falsifié est écrit à la place du message que vous avez envoyé.

en conclusion

Je l'ai écrit à la hâte, alors comprenez qu'il peut être un peu difficile à comprendre. ..

Cette fois, j'ai essayé de falsifier la communication de l'iphone, mais bien sûr, la communication du PC peut être la même.

Si vous le faites de manière malveillante, vous pouvez falsifier le score du jeu et l'envoyer Il est possible de falsifier et de transmettre les informations d'autrui.

Veuillez limiter vos tests à votre propre environnement.

• N'oubliez pas de désactiver la configuration du proxy iphone après l'expérience.