Voici un article fort intéressant sur comment exploiter l’API d’une application mobile :
Ecrit par un growth hacker, il nous explique comment mettre en place un proxy entre l’application mobile et son backend afin d’écouter les échanges et d’en tirer parti par la suite.
Le besoin au départ est de vouloir scraper les datas d’un site web. Ce site web possédant une application mobile, le growth hacker souhaite passer par l’API privé pour récupérer du json ou du xml pour se faciliter la tache.
Ce qui est intéressant du point de vue du développeur d’API backend, c’est la technique pour visualiser les échanges et déboguer.
C’est aussi intéressant de voir la simplicité de se faire espionner son API même si les échanges sont en HTTPS.
En petit résumé :
- Mettre en place le proxy : Téléchargez et installez la dernière version de Burp Suite : https://portswigger.net/burp/
- Configurer le wifi sur le téléphone pour qu’il passe par le proxy
- Importer dans le mobile l’autorité de certification (CA) du proxy
C’est tout! Trop facile.
Amusant aussi, intercepter et modifier les requêtes à la volé pour « tricher »…
Ca ouvre des perspectives pour un pirate…