如何在 Android 上使用 OWASP ZAP 进行 MiTM 攻击？

Posted 2023-02-19

【中文标题】如何在 Android 上使用 OWASP ZAP 进行 MiTM 攻击？

【英文标题】：How to use OWASP ZAP for MiTM attack on Android?

【发布时间】：2016-11-14 06:50:15

【问题描述】：

我知道我没有在我的 android 应用程序中处理 MiTM，它可能很容易受到攻击。我想通过代理（我的笔记本电脑）连接我的 Android 手机并使用任何可能的工具检查 MiTM 攻击来测试场景。

【参考方案1】：

您需要：

在您的设备上安装 ZAP 根 CA 证书作为受信任的根 CA 证书 在计算机上设置 ZAP 并将其使用的主机设置为空白，以便侦听所有 IP 地址 将您的设备配置为通过该计算机进行代理

这里有一个视频 + 描述更多细节：https://security.secure.force.com/security/tools/webapp/zapandroidsetup

【讨论】：

如果我创建自己的 CA 证书并将其作为受信任的证书添加到我的设备上。那么这里就没有攻击性了。它是一个值得信赖的证书，它应该可以工作。我不认为它的中间人攻击。

这些说明用于设置 ZAP，以便它可以有效地扫描您的应用程序。如果您只想检查 MiTM 攻击是否无法查看/更改您的任何应用程序通信，请执行相同的操作，但无需安装 ZAP 根 CA 证书。如果 ZAP 显示任何未加密的流量，那么您的应用将容易受到不受信任的中间人攻击。