[Owasp-turkey] Owasp-turkey Digest, Vol 64, Issue 5

Deniz CEVIK denizcev at gmail.com
Mon May 7 15:38:35 UTC 2012


Merhaba,

Aslında sorun burpsuite'de değil :) (onur direkt giydirmişsin). Bende
benzer durumla karşılatım, ancak burpsuite de custom ssl sertifikası
tanımlayarak SSL trafiğinin arasına girilebildiğini gördüm. İlk
aşamada bunu mobil uygulamayı geliştirenlerin MITM'i engellemek için
yaptıkları bir istemci tabanlı koruma olarak düşünmüştüm, ama o kadar
çok uygulamada karşılaştım ki artık iphone'un profile ayarları ile
ilgili bir durum olabilir diye düşünüyorum.

SSL trafiğini capture etmek için openssl gibi bir araç ile orjinal
sertifika ile benzer cn, ou vb bilgilerine sahip bir sertifika
oluşturup, burp'e araya girerken bu sertifikayı kullan deserniz
problemsiz bir şekilde trafiğin arasına girebilirsiniz. Yani sahte
sertifika detaylarına baktığınız zaman, orjinal sertifika bilgilerine
benzer şeyler olması gerekiyor. Bunu ilk gördüğümde sanırım uygulama
içinde CN name' göre bir kontrol koydular diye düşünmüştüm. :)

Burp'un proxy ayarlarında hostname olarak şunu kullan gibi
seçeneklerde var ama onlar ile yine araya girilemiyor. Ama yukarıdaki
yolla burp ile sorunsuz MITM işlemi yapabilirsiniz. Fiddlerin add'on
da sanırım benzer bişiler yapıyor.

HTTP dışı protokoller için pek çok araç var, dll injection ile
application bazlı MITM yapabilen araçlar var, Canepe gibi bir araçla
ise transparent olarak araya girebilirsiniz. Tabi protokol binary ise
decode etmeniz gerekecektir, data seviyesinde bir encryption var ise
zaten MITM ile yapılabilecek pek bir şey yok, direkt istemci yazılım
üzerinde decompile yoluyla bir şeyler yapmaya çalışmak daha hızlı
sonuç almaya yardımcı olabilir.

Saygılar

2012/5/7 Onur Yilmaz <contact at onuryilmaz.info>:
> Selam,
>
> İlgili seçeneği aktif etmeden zaten SSL trafiğini capture etmedi iPhone
> uygulamasının.
>
> Zannediyorum ki benim test ettiğim uygulamadan kaynaklı Burp'un handle
> edemediği bir durum var. Bu hafta sonu başka uygulamalarda r da deneyeceğim
> eğer fırsatım olursa.
>
> 7 Mayıs 2012 17:01 tarihinde Sertan Kolat <sertan at gmail.com> yazdı:
>
>> Onur selam,
>>
>> Eline saglik. Yasadigin problem ilgimi cekti.
>>
>> Burp proxy seceneklerinde "support invisible proxying" secenegini aktif
>> hale getirerek denedin mi?
>>
>> Iyi haftalar,
>> Sertan
>>
>>
>> 2012/5/7 Onur Yilmaz <contact at onuryilmaz.info>
>>>
>>> Selamlar,
>>>
>>> Aslında Burp benim de güzel bir akşamımı hiç etti sağolsun :) oldum olası
>>> Java ile geliştirilmiş uygulamalardan neden uzak durduğumu bir daha anladım
>>> :)
>>>
>>> Burp'u da temel olarak aynı mantık ile konfigüre edebiliyoruz ama nedense
>>> benim analiz etmek istediğim iPhone uygulaması ile stabil çalışmadı Burp.
>>> Uygulamayı açıyorum sorun yok ama login olmak istediğimde login isteğini
>>> capture eder etmez uygulamayı sonlandırıyor ve çıkıyordu.
>>>
>>> Daha sonra Fiddler ile denedim, HTTP isteklerini capture etmede sorun
>>> yoktu ama SSL trafiği sorun çıkarttı. Onun da sertifikadan kaynaklandığını
>>> ve doğru sertifikanın nasıl üretileceğini (Fiddler'a patch geçmek gerekiyor)
>>> makalede anlatmaya çalıştım. Bu aşamadan sonra Fiddler hiç sorun vermeyince
>>> de nasıl yaptığımı paylaşayım istedim.
>>>
>>> Burada aslında 'proxy kullanamayan uygulamalar' tam olarak durumu ifade
>>> etmiyor. Çünkü biz iPhone'un bağlı olduğu ve internete çıkış yaptığı modem
>>> arasına bir proxy koyuyoruz ve trafik buradan akıyor. Uygulamayı değil
>>> iPhone'u proxy'ye göre konfigüre ediyoruz.
>>>
>>> Ama garip bir şekilde Burp bu durumu tam olarak handle edemedi ve benim
>>> sâdık yârim Fiddler'dır diyerek kürkçü dükkanına dönüş yaptım :)
>>>
>>> Eğer Fiddler ile sorun yaşarsanız, sorunu ve çözümünü paylaşırsanız
>>> sevinirim.
>>>
>>> Kolay gelsin.
>>>
>>>> ---------- Yönlendirilmiş ileti ----------
>>>> From: "Ömer Altundal" <omeraltundal at hotmail.com>
>>>> To: <owasp-turkey at lists.owasp.org>
>>>> Cc:
>>>> Date: Mon, 7 May 2012 06:58:11 +0000
>>>> Subject: Re: [Owasp-turkey] Fiddler ile iPhone Trafiğini Kaydetmek
>>>> Onur selamlar,
>>>>
>>>> Paylaşım için teşekkürler. Her iPhone uygulamasını test ederken kırk
>>>> takla atarak trafiği bilgisayarıma yönlendirip orada Burp'le analiz etmeye
>>>> çalışıyorum. Fiddler da yardımcı olacaktır. Yalnız bu da yine proxy
>>>> kullanamayan uygulamaların trafiğini almamızı sağlayamayacak değil mi?
>>>> Denemedim henüz ama senin vereceğin cevaba göre büyük dertten kurtarmış
>>>> olacaksın belki de beni :) Eğer dediğim gibiyse iphone simulatörü vs
>>>> kullanarak mı analiz etmek gerekir?
>>>>
>>>> Teşekkürler.
>>>> Ömer Faruk Altundal.
>>>> ________________________________
>>>> Date: Mon, 7 May 2012 00:40:32 +0300
>>>> From: onuryilmazinfo at gmail.com
>>>> To: owasp-turkey at lists.owasp.org
>>>> Subject: [Owasp-turkey] Fiddler ile iPhone Trafiğini Kaydetmek
>>>>
>>>> Selamlar,
>>>>
>>>> Web Güvenliği Topluluğu Belgeler kısmına Fiddler ile iPhone Trafiğini
>>>> Kaydetmek isimli makale eklenmiştir.
>>>>
>>>> http://www.webguvenligi.org/belgeler
>>>>
>>>> İyi çalışmalar.
>>>>
>>>> _______________________________________________ Owasp-turkey mailing
>>>> list Owasp-turkey at lists.owasp.org
>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>
>>>> _______________________________________________
>>>> Owasp-turkey mailing list
>>>> Owasp-turkey at lists.owasp.org
>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>
>>>
>>>
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>


More information about the Owasp-turkey mailing list