поведение аппки), который проксируется через бёрп (трафик не через бёрп проходит)? Знаю, что Clouflare вроде бы проверяет существующие SSL/TLS-алгосы у клиента и на этом основании делает вывод об использовании бёрпа.
Есть идеи как это проверяется (invisible proxying установлен, User-Agent менялся, бёрп веб-интерфейс отключен) и может что-то по обходу?
Спасибо! TLS протоколы ниже 1.2 отключались, но ciphers не трогались. Некорректно про аппку описано - не мобильное приложение тестирую, а обычный вебчик, так что скорее всего не в пиннинге дело.
Понял, тогда есть вероятность, что смотрит на ja3, ага
Интересно, спасибо большое!
Знаю такие сайты, там где я работал это работало через проксю
Можешь чуть подробнее без критичного дисклоза, пожалуйста - не совсем понимаю часть "работало через проксю", потому что бёрп как бы и есть прокси?
В той компании стояло куча и маленькая тележка СЗИ на каждом шаге сетевого запроса от пользователя до него обратно. Я хоть и работал в головной безопасности, но даже сам не знал что где) Там стояли СЗИ, которая слушала все запросы через проксю. В риалтайме, это круто) Я когда сам попробовал попентестить нас, у меня веб апликуха через встроенный браузер бурпа даже не грузилась. Я делал через FoxyProxy + Burp. Так работало, но апликуха за счет очень сложного js могла вести себя по-разному, если ей что-то дать в запросе или убрать
Мне почему-то казалось, что встроенный браузер бёрпа работает через FoxyProxy, но нет) Прям день открытий.
Можешь попробовать перехватить tls handshake и потом подменить его в бурпе через https://github.com/sleeyax/burp-awesome-tls
Ага, спасибо большое! По сути JA3 и заменим, как я понимаю.
Обсуждают сегодня