Penggunaan fitur application programming interface (API) dalam pengembangan aplikasi mobile kini sangat umum dilakukan, selain untuk mempermudah melakukan interaksi sistem, API juga dapat mempermudah integrasi antar sistem. Namun, sebelum menggunakan API, sebaiknya kita melakukan pengecekan traffic terlebih dahulu untuk menjaga keamanan komunikasi data antara aplikasi mobile dengan server API. Caranya adalah dengan melakukan penetration test pada jaringan API dan memastikan traffic dari aplikasi ke server API dapat dibaca atau tidak oleh attacker. Untuk melakukan penetration test, kali ini kita akan menggunakan software bernama Burp Suite.
Di artikel kali ini, kita akan membahas bagaimana langkah-langkah untuk mengintegrasi software Burp Suite ke smartphone dengan sistem operasi iOS. Burp Suite akan bertindak sebagai proxy pada smartphone kita, sehingga semua traffic yang masuk dan keluar ke smartphone kita akan diterima oleh Burp Suite terlebih dahulu. Software ini juga memungkinkan kita untuk melakukan modifikasi pada traffic Sebelum traffic diterima atau dikirimkan.
Sebelum memulai integrasi ke smartphone, kita harus melakukan konfigurasi pada Burp Suite untuk menambahkan listener sebagai proxy yang nantinya akan kita gunakan pada smartphone, langkah-langkahnya adalah sebagai berikut:
- Pastikan smartphone dan PC kita ada dalam jaringan yang sama. Pada kasus ini, IP address pada PC saya adalah 10.10.11.205.
- Pada aplikasi Burp Suite, buka tab Proxy > Options > Proxy Listeners > Add Kemudian masukkan nomor IP dari PC tadi dan bind port yang akan digunakan pleh smartphone sebagai Proxy.
Setelah selesai melakukan konfigurasi tersebut, artinya Burp Suite sudah menjadi listener dan siap digunakan sebagai proxy pada smartphone dan kita dapat mulai untuk melakukan integrasi Burp Suite ke smartphone iOS dengan langkah-langkah di bawah ini:
*Sebagai catatan pada artikel kali ini, kami menggunakan iPhone 5s dengan iOS versi 12.4.5.
- Pastikan smartphone dan PC terkoneksi pada jaringan yang sama. Pada kasus ini, IP dari smartphone yang digunakan adalah 10.10.11.212.
- Lakukan konfigurasi proxy iOS yang terdapat pada menu HTTP Proxy seperti gambar di bawah ini:
- Pilih Manual, lalu input nomor IP PC dan port Burp Suite pada kolom di bawahnya
.
4. Setelah selesai, simpan konfigurasi tersebut kemudian kita bisa mulai untuk memasang profile certificate Burp Suite agar traffic SSL bisa ditangkap oleh proxy Burp Suite dengan mengunjungi linkย http://burp/ pada browser smartphone.
- Kemudian klik tombol CA Certificate di pojok kanan atas halaman website, dan secara otomatis kita akan mengunduh profile dari Burp Suite. Lalu, pilih Allow untuk mengizinkan Burp Suite memasangkan profile pada smartphone kita.
- Setelah memilih Allow, selanjutnya kita buka menu Setting > Profile Downloaded.
Klik Profile Downloaded untuk Melihat profile dari Burp Suite, kemudian tekan install.
Selanjutnya, kita akan diminta untuk memasukkan passcode serta akan muncul permintaan konfirmasi untuk memasang profile tersebut.
- Setelah pemasangan profile dikonfirmasi, maka profile Burp Suite telah berhasil terpasang di smartphone kita.
- Software Burp Suite kini sudah bisa digunakan pada smartphone iOS untuk digunakan penetration test. Berikut adalah screenshot dari traffic menuju https://id.yahoo.com dari smartphone yang berhasil ditangkap oleh Burp Suite (dibuktikan dengan header User-Agent milik Safari dari iPhone).
Cara di atas merupakan salah satu cara yang paling efektif untuk Anda memulai penetration test pada aplikasi mobile di smartphone berbasis iOS. Dengan menggunakan Burp Suite Anda dapat memetakan seluruh API request di dalam aplikasi dan melihat respon yang ada. Melalui artikel ini, Defenxor sebagai ahli keamanan IT terpercaya di Indonesia berharap bisa membantu Anda dalam menghadapi tantangan keamanan siber saat ini dan juga meningkatkan kesadaran akan pentingnya memastikan keamanan data dan aplikasi penting dengan melakukan berbagai pendekatan keamanan salah satunya adalah penetration test.
