Làm cách nào để đảo ngược API máy chủ kik của kỹ sư từ trình giả lập Android?

Question

Tôi có một cuộc trò chuyện nhóm trong kik messenger đã đạt hơn 50 thành viên. Tôi cần phải tự động hóa một số thứ như điểm danh tiếng dựa trên mức độ tương tác và cũng khởi động các thành viên không hoạt động không đăng bất kỳ thứ gì trong XXX ngày. Tôi đã xem xét API reference và có vẻ như cách duy nhất mà các bot có thể được tương tác với các nhóm là sử dụng @mentions. điều đó có nghĩa là chúng tôi không thể thêm họ vào nhóm và họ không thể theo dõi các cuộc trò chuyện nhóm. Tôi cũng đã xem qua số this nhưng có vẻ như nó không giúp được gì.

API kik bot hiện tại cung cấp các đặc quyền rất hạn chế và không cho phép theo dõi tin nhắn nhóm vì vậy tôi đã nghĩ đến reverse engineering the server API và tạo một tài khoản bình thường hoạt động như một bot và tương tác với API này. Tôi đã quản lý định tuyến lại lưu lượng truy cập qua fiddler, nhưng tôi không chắc chắn nên đi đâu từ đó.

Vì vậy, câu hỏi là: Whats công việc để làm theo cho kỹ thuật đảo ngược một API của một ứng dụng đang chạy trên một giả lập android

Cảm ơn trước

Answer 1

Đây là hướng dẫn chung để kiểm tra lưu lượng mạng và làm thế nào để gỡ lỗi tương tác với API. Chỉ sử dụng chúng cho các thiết bị/API mà bạn được phép. Hãy nhận thức được những tác động pháp lý có thể có và tìm kiếm lời khuyên pháp lý trước. Ví dụ, có thể bất hợp pháp để đảo ngược điều gì đó ở quốc gia của bạn.

chế:

1. Thiết lập proxy trên một máy tính sử dụng một công cụ như Fiddler, mitmproxy.
2. Định cấu hình proxy của bạn để chặn và giải mã các kết nối SSL. Trong quá trình này, bạn phải tạo chứng chỉ gốc SSL (instructions for Fiddler và instructions for mitmproxy) và cài đặt nó trên điện thoại/trình giả lập của bạn để làm cho chúng chấp nhận bất kỳ chứng chỉ nào được tạo bởi proxy.
3. Định cấu hình proxy trong cài đặt mạng của điện thoại của bạn.

Nếu ứng dụng/thiết bị không hỗ trợ proxy, bắt đầu một mạng WiFi ad-hoc trên máy tính của bạn, kết nối thiết bị với nó và sử dụng Wireshark (instructions how to decrypt SSL) để nắm bắt toàn bộ giao thông.

Có vẻ như bạn đã làm điều này. Bây giờ là lúc để thực hiện bất kỳ hành động nào bạn muốn kiểm tra/chặn trên điện thoại của bạn và xem/ghi lại các yêu cầu mà chúng kích hoạt. Điều này có thể trông giống như sau:

1. Gửi tin nhắn.
2. Xác định các yêu cầu được kích hoạt và tách biệt chúng khỏi tiếng ồn do các ứng dụng khác gây ra, ví dụ: bằng cách xem URL yêu cầu hoặc IP mục tiêu.
3. Lưu yêu cầu được kích hoạt để tham khảo trong tương lai và xem chi tiết có thể thú vị như ID người dùng, mã thông báo phiên, URL và thông số yêu cầu. Trong trường hợp bạn không chắc chắn những gì đã được sửa và có gì thay đổi, hãy lặp lại hành động (ví dụ: gửi tin nhắn) nhiều lần và so sánh các yêu cầu với nhau.

Nếu bạn nghĩ rằng bạn đã tìm ra những gì bạn đang tìm cách tạo lại phiên sử dụng công cụ như curl và kiểm tra xem kết quả có phù hợp với mong đợi của bạn hay không. Nếu không, hãy tiếp tục thu thập dữ liệu và thử lại. Viết một số bài kiểm tra tự động để có thể xác minh hành vi trong tương lai.