Menghubungkan Burp Suite dengan Android Device

Monday, April 30, 2018

Menghubungkan Burp Suite dengan Android Device - Untuk melakukan audit atau pentesting pada aplikasi android, beberapa orang membutuhkan Burp Suite terutama jika metodenya adalah black box. Dengan Burp Suite kita bisa memetakan seluruh api request di dalam aplikasi dan melihat respon yang ada.

Contoh intercept dari aplikasi Bukalapak:

Nah kali ini kita akan membahas bagaimana cara mengintegrasikan Burp Suite dengan device android. Bisa menggunakan smartphone maupun Android Emulator. Jika menggunakan emulator, kalian bisa menggunakan Genymotion atau yang lain. Tapi disini karena saya gak pakai Genymotion lagi, disini saya menggunakan smartphone. Untuk step step nya sama saja kok.

Yang dipersiapkan:
  • Laptop yang terinstall burpsuite
  • Smartphone atau Android Emulator
  • Kedua device (laptop dan smartphone) terhubung dengan jaringan yang sama/WiFi yang sama


Pertama kita setting dulu di Burp Suite nya
Buka Burp Suite. Klik tab Proxy lalu Options. Lalu add.
Bind port isikan dengan port yang tidak terpakai misalnya, jangan pakai port 80 jika kalian sedang mengaktifkan webserver. Bind to address isikan dengan specific address. Alamat ipnya bisa kalian cek dengan perintah ifconfig.

Setelah oke sekarang waktunya kita setup di bagian Android. Buka Settings > WiFi.

Lalu tekan agak lama SSID yang terhubung dengan device kita. Selanjutnya pilih Modify Network.

Proxy pilih Manual. Lalu proxy hostname isikan dengan ip yang sebelumnya telah kita setting di burp suite. Begitu juga dengan port nya.
Setelah oke, kita download CA Cert Burp Suite. Hal ini dilakukan agar kita bisa menangkap trafik https. Buka browser, lalu masuk ke alamat ip_proxy:port yang sudah kita setting di Burp Suite. Contoh 192.168.1.11:1337 .
Lalu klik CA Certificate. Selanjutnya akan terdownload file bernama cacert.der . Rename file tersebut menjadi cacert.cer 
Langkah selanjutnya adalah install sertifikat tersebut. Masuk ke Settings > Security > Install from SD Card. Lalu masuk ke direktori tempat kalian menyimpan cacert.cer . Klik OK.
Certificate name isi bebas. Untuk inisialisasi saja. Lalu klik OK.

Nah semua sudah oke, kita balik ke Burp Suite. Jangan lupa intercepter nya di aktifkan agar trafik dari android device bisa tercapture. Selanjutnya kita coba buka aplikasi Bukalapak. Dan jika semua step nya benar, maka requestnya akan muncul di Burp Suite.

Oke mungkin sekian tutorial singkat kali ini, semoga bermanfaat. Jika ada yang ingin ditanyakan silahkan komentar.

Artikel Terkait Android ,BurpSuite ,Security

No comments:

Post a Comment