MASTG-TECH-0120 傍受プロキシを使用して HTTP トラフィックを傍受する (Intercepting HTTP Traffic Using an Interception Proxy)

傍受プロキシはモバイルアプリのトラフィックを傍受する最も一般的な方法です。傍受プロキシはモバイルアプリとサーバー間のすべての HTTP/HTTPS トラフィックを傍受してログ記録するプロキシサーバーを設定することで機能します。これによりリクエストとレスポンスをリアルタイムに閲覧および修正できます。

フリーおよび商用のプロキシツールがいくつか利用可能です。例: mitmproxy, Burp Suite, ZAP (Zed Attack Proxy)

プロキシへのトラフィックの再ルーティング

傍受プロキシを使用するには、ホストコンピュータ上でプロキシを実行し、HTTP(S) リクエストをプロキシにルーティングするようにモバイルアプリを構成する必要があります。ほとんどの場合、モバイルデバイスのネットワーク設定でシステム全体のプロキシを設定するだけで十分です。アプリが標準の HTTP API や okhttp などの一般的なライブラリを使用している場合は、システム設定を自動的に使用します。

プロキシ証明書のインストール

傍受プロキシを使用すると SSL 証明書の検証を中断し、アプリは通常 TLS 接続を開始できなくなります。そのため、傍受プロキシはモバイルデバイスにカスタム CA 証明書をインストールすることを要求します。これによりプロキシは暗号化された HTTPS トラフィックを復号化して検査できます。プラットフォームによっては、インストールされた証明書がアプリケーションによって自動的に信頼される場合とそうでない場合があります。さらに、一部のアプリは証明書ピン留めを実装しており、これをバイパスするには追加の作業が必要です。

プラットフォームごとの手順

• Android: 傍受プロキシの設定 (Setting Up an Interception Proxy) 参照

• iOS: 傍受プロキシの設定 (Setting Up an Interception Proxy) 参照