ApiCatcher for Burp Suite Extension
Verwenden Sie einfach die ApiCatcher App auf Ihrem iPhone/iPad und installieren Sie diese Erweiterung auf Burp Suite, um den erfassten HTTP/HTTPS-Traffic von iOS zur Echtzeitanalyse mit Burp Suite zu synchronisieren.
Warum brauchen Sie es?
Die Verwendung von ApiCatcher zur Erfassung von Traffic unter iOS erfordert keinen Computer-Proxy. Es fängt den Traffic basierend auf einem VPN-Mechanismus ab und macht mühsame Proxy-Konfigurationen überflüssig. Mit der Burp Suite-Erweiterung von ApiCatcher kann der erfasste Traffic über das WebSocket-Protokoll in Echtzeit mit Ihrer Burp Suite synchronisiert werden.
Installation und Verwendung
Schritt 1: Laden der Erweiterung in Burp Suite
Laden Sie das .jar-Paket dieses Projekts herunter (gehen Sie zu GitHub, um es herunterzuladen, oder kompilieren Sie den Quellcode selbst). Öffnen Sie Burp Suite, gehen Sie zur Registerkarte Extensions -> Installed, klicken Sie auf Add, wählen Sie den Erweiterungstyp Java in den Extension Details aus und wählen Sie die heruntergeladene .jar-Datei zum Laden aus.

Schritt 2: Synchronisierungsparameter konfigurieren
Nachdem die Erweiterung erfolgreich geladen wurde, wird oben eine Registerkarte ApiCatcher angezeigt. Stellen Sie sicher, dass der WebSocket-Synchronisierungsdienst hier gestartet ist. Falls nicht, klicken Sie auf Start Server, um ihn zu starten. Öffnen Sie danach die ApiCatcher-App unter iOS, klicken Sie auf die Schaltfläche '+' in der oberen rechten Ecke der Startseite, wählen Sie im Popup-Menü "Echtzeit-Synchronisierung", wechseln Sie zu "Burp Suite" oder "Benutzerdefinierter Empfänger", scannen Sie den QR-Code auf dem Bildschirm oder geben Sie die Adresse manuell ein. Standardmäßig wird der Traffic mit der Sitemap von Burp Suite synchronisiert, oder Sie können zum Proxy-Verlauf wechseln.

Schritt 3: Sitemap ansehen
Wenn iOS mit der Paketerfassung beginnt, werden die Anforderungen automatisch mit Burp Suite synchronisiert. Sie können die in Echtzeit synchronisierten Domänen und die API-Hierarchie unter Target -> Site map sehen.

Schritt 4: Anforderungen im Proxy-Verlauf analysieren
Wenn Sie das Synchronisierungsziel auf "Proxy History" umstellen, wird der gesamte HTTP/HTTPS-Traffic synchronisiert und unter Proxy -> HTTP history angezeigt. Sie können den detaillierten Anforderungs-/Antwortinhalt hier wie bei der Analyse von Computer-Traffic anzeigen. Hinweis: Anforderungen, die mit der Proxy-Historie synchronisiert werden, erhalten den Header "X-ApiCatcher-RequestId".

Schritt 5: Laufzeitprotokolle ansehen
Wenn Synchronisierungsprobleme auftreten, können Sie zur Seite Extensions -> Installed zurückkehren, die ApiCatcher-Erweiterung auswählen und die detaillierten Protokollausgabeinformationen in den Feldern Output und Errors überprüfen.
