Burp Suit не перехватывает вызовы API из мобильного приложения Flutter iOS

Я настроил костюм Burp для перехвата вызовов API (http и https) из мобильных приложений iOS.

Я получаю ожидаемый результат от всех моих собственных приложений iOS, которые используют http и https (закрепление SSL-сертификата отключено)

Но для мобильного приложения флаттера ни один запрос не перехватывается, и никакие элементы не отображаются на вкладке «http history».

Я использую пакет флаттера по умолчанию "http.dart" для вызовов API. Содержит ли этот пакет какую-либо встроенную защиту, чтобы избежать перехвата сети?


ios flutter flutter-packages security burp
person mustaq    schedule 25.04.2019    source источник
comment
Я думаю, что ваше приложение просто игнорирует общесистемные настройки прокси-сервера или использует протокол, отличный от http (маловероятно, учитывая пакет, который вы используете). Попробуйте пересечь трафик с помощью Wireshark, чтобы увидеть, как он взаимодействует с сервером.   -  person Andrew Morozko    schedule 27.04.2019

Ответы (1)


arrow_upward
0
arrow_downward

Flutter использует Dart, который не использует системное хранилище CA. Таким образом, даже если вы установили BURP CA на свое устройство iOS, флаттер не замечает этого, поскольку использует список CA, встроенный в само приложение.

Вы должны отключить проверку SSL-сертификата в своем приложении для целей тестирования. Чтобы отключить проверку SSL-сертификата во флаттере, обратитесь к:

как устранить ошибку флаттера CERTIFICATE_VERIFY_FAILED при выполнении POST-запроса?

Кроме того, это может быть связано с тем, что ваша установка дротика iOS не поддерживает прокси-сервер (обычно Android Dart этого не делает). Я бы это тоже исследовал.

person James Rickardson    schedule 18.06.2020