Integracja backendu, debugowanie mobilne, testy bezpieczeństwa, testy obciążeniowe, tworzenie protokołów, przechwytywanie i odszyfrowywanie i inne: każde zadanie ma swoje rozwiązanie
Backend i integracja
Aplikacja łączy się bezpośrednio i pomija proxy, HTTPS to ściana szyfrogramu, a frontend i backend obwiniają się nawzajem o jedno pole, porównując żądania na oko.
Przechwyć ruch bezpośredni na karcie sieciowej → odszyfruj automatycznie → porównaj dwa żądania linia po linii, by odróżnić problem z danymi od problemu z wyświetlaniem → wygeneruj kod i wklej z powrotem do projektu.
Debugowanie aplikacji mobilnych
HTTPS aplikacji to sam szyfrogram, przypięty certyfikat blokuje treść, a instalowanie certyfikatu wciąż zawodzi na iOS i nowszym Androidzie.
Czytaj tekst jawny z wnętrza aplikacji → iOS bez jailbreaka, Android bez instalowania certyfikatu → pinning tego nie blokuje, treść jest na wyciągnięcie ręki.
Integracja API bez dokumentacji
Integrujesz usługę zewnętrzną bez dokumentacji API, nie wiedząc, co wysłać ani co przyjdzie z powrotem.
Przechwyć prawdziwy ruch i odszyfruj go → przeczytaj każde pole żądania i odpowiedzi → zamień to w specyfikację OpenAPI i wygeneruj kod klienta.
Praca z protokołami prywatnymi / binarnymi
Urządzenie lub usługa mówi prywatnym protokołem binarnym, a przechwycone dane to ściana szumu bez widocznej struktury ramek.
Napisz krótki skrypt deklarujący ramkowanie → prywatny protokół zostaje odtworzony w ustrukturyzowane pola → sprawdź implementację ramka po ramce.
Testowanie bezpieczeństwa API
Musisz sprawdzić, czy aplikacja lub klient wysyła dane wrażliwe otwartym tekstem i czy serwer przyjmuje zmanipulowane parametry.
Przechwyć w środku → zmień żądanie w punkcie przerwania i obserwuj odpowiedź serwera → przeczytaj kartotekę hosta pod kątem oceny certyfikatu i stosu technologicznego i zmapuj ryzyka.
Mapowanie zasobów i rozpoznanie
Masz tylko jedną domenę lub IP, zbyt mało, by wiedzieć, jakie usługi za tym stoją.
Kartoteka hosta z właścicielem, oceną certyfikatu A–F i stosem technologicznym → wykrywanie subdomen plus skanowanie portów → uzupełnij powierzchnię zasobów.
Testy obciążeniowe API i wydajność
Przechwytywanie i testy obciążeniowe to dwa osobne narzędzia, a podpisanych lub oznaczonych czasem API nie da się przetestować bezpośrednio.
Kliknij prawym „Przetestuj obciążeniowo to żądanie” → podpisy i znaczniki czasu przeliczają się z wartości dynamicznych, więc działa bezpośrednio → uczciwe wyniki opóźnienia ogona.
Testy słabej sieci i warunków brzegowych
Chcesz zobaczyć, jak aplikacja zachowuje się przy 2G, utracie pakietów lub wysokim opóźnieniu, ale takie środowisko trudno przygotować.
Gotowe ustawienia słabej sieci jednym kliknięciem → dodaj opóźnienie, ogranicz przepustowość, gub pakiety → zobacz, jak aplikacja naprawdę reaguje przy kiepskim połączeniu.
Diagnostyka sieci i utrzymanie
Przekroczenia czasu, utrata pakietów, prędkość, która skacze, a logi nie pokazują, gdzie jest problem.
Czytaj uzgadnianie i retransmisje pakiet po pakiecie → drzewo protokołów wskazuje DNS, TCP lub warstwę aplikacji → tabela połączeń pokazuje, który proces gdzie się łączy.
Przechwytywanie aplikacji systemowych i opornych
Aplikacja systemowa lub oporna nie wpuszcza proxy i blokuje wstrzyknięcie, zostawiając w sieci sam szyfrogram.
Przechwytywanie na poziomie systemu czyta tekst jawny od spodu → albo przechwyć tylko jeden wskazany program z osobna → to, czego inne narzędzia nie sięgną, on sięgnie.