Exploiter l'API privée d'une application mobile

Bonjour à tous,

J’ai publié la semaine dernière un article pour décrire la méthode que j’utilise pour récupérer les appels API des applications mobiles Android ou iOS.

La plupart des applications mobiles appellent leur propre API qui est souvent privée.

En mettant en place un proxy qui intercepte tous les appels réseaux il est possible de facilement récupérer tous les flux réseaux et d’exploiter ensuite l’API pour récupérer toutes les données ou effectuer des actions sur le service.

Mon article : Exploiter une API privée d’une application mobile

Excellente journée !

Paco

7 J'aimes

Cool ton article Paco. Bienvenue sur le forum !

1 J'aime

Hello @pacovilletard

Je suis un peu partagé…
D’une part c’est super car tu donnes une bonne ressource publiquement et ça c’est tout à fait honorable.
Mais d’une certaine façon je trouve que c’est un peu trop.

En effet, beaucoup d’applis ne sont pas très bien sécurisées et vont se retrouver hackées très rapidement.

C’est de bonne guerre, mais quand même…

Si je devais résumer ça en une image :

6 J'aimes

Je partage aussi l’avis de Vivian,

Mais d’un autre côté, c’est inévitable. Quelqu’un d’autre aurait franchi le rubicon un jour ou l’autre de toute façon. Sans parler du contenu anglais.

Ça va pousser certains développeurs à mieux sécuriser leurs applications aussi.

@VivianSolide MDR ton image.

Tuerie!

@pacovilletard Du coup tu peux faire un super service d’API bug bounty :wink: