Et si on profitait de l’API privée des applications mobiles?


Voici un article fort intéressant sur comment exploiter l’API d’une application mobile :

https://medium.com/@paco.villetard/comment-exploiter-lapi-priv%C3%A9e-d-une-application-mobile-ea218d890d71

Ecrit par un growth hacker, il nous explique comment mettre en place un proxy entre l’application mobile et son backend afin d’écouter les échanges et d’en tirer parti par la suite.
Le besoin au départ est de vouloir scraper les datas d’un site web. Ce site web possédant une application mobile, le growth hacker souhaite passer par l’API privé pour récupérer du json ou du xml pour se faciliter la tache.

Ce qui est intéressant du point de vue du développeur d’API backend, c’est la technique pour visualiser les échanges et déboguer.
C’est aussi intéressant de voir la simplicité de se faire espionner son API même si les échanges sont en HTTPS.

En petit résumé :

C’est tout! Trop facile.
Amusant aussi, intercepter et modifier les requêtes à la volé pour « tricher »…
Ca ouvre des perspectives pour un pirate…

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *