بررسی تست نفوذ نرم افزار های موبایل با OWASP ZAP

در این مقاله با استفاده از نرم افزار های پروکسی شخص ثالث سعی بر تست نرم افزار های موبایل (اندرویدی و IOS) بر پایه REST API و Web Scoket خواهیم کرد. در این پروژهش میتوانیم تمامی اطلاعات ورودی / خروجی کل دستگاه یا یک نرم افزار خاص را زیر نظر بگیریم و در صورت نیاز اطلاعات درخواستی یا پاسخ های ارسال شده از سمت سرور را تغییر دهیم و به سمت نرم افزار مقصد سوق دهیم.بسیاری از نرم افزار های موبایل برای انتقال اطلاعات میان خود و سرور از پروتکل هایی همچون Web Socket - Rest API و TCP/UDP استفاده میکنند از همین رو میتوان ترافیک شبکه را به روی سیستم عامل تست نفوذگر پروکسی کرد و با استفاده از نرم افزار هایی که در حملات MITM کاربرد دارند اقدام به مشاهده این دسته از اطلاعات کرد.درک نحوه کار نرم افزار در روند تست نفوذ کمک بزرگی در کشف آسیب پذیری خواهد کرد. شما با درک ساختار یک سیستم میتوانید مشکلات احتمالی را حدث زده و تست کنید برای مثال شخصی که به سیستم قفل درب های خودرو آشنایی کافی دارد احتمالا خواهد توانست نقاط ضعف و قدرت این سیستم را درک و با استفاده از آنها اقدام به باز کردن درب خودرو کند.اینگونه اطلاعات برای طراحان سیستم های امنیتی اهمیت بسیاری دارد زیرا با دیده شدن مشکلات امنیتی توسط تیم قرمز در سامانه ها, تیم آبی سعی بر رفع موارد آسیب پذیر خواهد کرد.پس از درک کامل سیستم با استفاده از حدث و گمان و تست آنها و یا با استفاده از ابزار های تعبیه شده در نرم افزار ZAP اقدام به تست نفوذ خواهیم کرد. این ابزار ها دارای دسته بندی های گوناگونی هستند که در این مقاله به صورت کامل آنها را شرح داده ایم. نرم افزار OWASP ZAP به دلیل متن باز بودن و جامعه وسیع خود از نرم افزار رقیب خود به نام Burp Suite بسیار کامل تر است و بر خلاف Burp Suite دارای یک نسخه و آن هم به صورت آزاد, متن باز و رایگان است.