Inspeccionant aplicacions Android amb ZAP

ZAP és una eina d'OWASP que ens permet proxificar les comunicacions i inspeccionar el seu contingut.

Descarregar aplicació amb comunicacions

Podeu descarregar aquesta simple aplicació extreta de l'article Android threads per realitzar una crida a una API externa per HTTPS:

$ git clone https://github.com/iocpro/android-simple-com

Obrirem l'aplicació amb Android Studio i la posarem en marxa a l'emulador.

Instal·lar certificats de ZAP a l'emulador

Per tal de poder llegir les comunicacions caldrà instal·lar els certificats de ZAP dins de les CAs de confiança de l'emulador:

1. Anar a ZAP:

   Tools -> Options -> Network -> Server Certificates

2. Guardar el certificat (zap_root_ca.cer)
3. Anar a Android Studio:

   Device Manager -> menú VM (3 punts) -> Open in Device Explorer

4. Carregar el certificat a Documents:

   /sdcard/Documents -> Botó dret -> Upload -> zap_root_ca.cer

5. A l'emulador:

   Settings -> Security -> More Security Settings -> Encryption and Credentials -> Install a Certificate -> CA Certificate -> Install Anyway

6. Seleccionem el certificat a

   Menu -> SD Card -> Documents -> zap_root_ca.cer

Ens hauria de dir «CA installed».

Proxificar l'emulador

Consulta a quin port escolta ZAP les comunicacions:

Tools -> Options -> Network -> Local Servers / Proxies -> Main Proxy

Per defecte sol ser localhost:8080

Anem a l'emulador i configurem el proxy:

Settings -> Network & Internet -> Internet -> Wi-Fi -> Network Details -> Edit -> Advanced Options -> Proxy -> Manual

Proxy Settings:

• Host: 10.0.2.2 (des de dins de l'emulador, la màquina física es pot accedir amb aquesta adreça)
• Port: 8080 (el què tinguem configurat a ZAP)
• IP: DHCP

Exercicis