app 抓包

2018-08-28 18:58:43 +08:00
 cc959798

如果使用 HTTPS 的话,内容是加密的,如果抓包的话不就没用吗?不能解析里面的格式 有什么解决办法吗

2673 次点击
所在节点    问与答
23 条回复
sbw
2018-08-28 19:24:51 +08:00
能搞到 private key 就可以解析了
cc959798
2018-08-28 19:30:47 +08:00
@sbw 关键是私钥肯定拿不到呀
greed1is9good
2018-08-28 19:32:43 +08:00
差一个证书而已。。。
wisej
2018-08-28 19:36:55 +08:00
中间人攻击,譬如 Fiddler。所以你得让它安证书呀
qwertyyb
2018-08-28 19:38:23 +08:00
一般来说,解密 https 数据,在抓包前需要安装一个证书。但是最近一些 app 也会对证书做一些验证,如果验证通不过,这样也有可能抓不到数据
Nobitasean
2018-08-28 19:41:36 +08:00
@cc959798 机构证书了解一下
cc959798
2018-08-28 19:54:50 +08:00
@Nobitasean 证书的话 https 每次请求的产生的私钥是不一样的吧,就算拿到私钥,可能不是抓到的包的私钥呀
cc959798
2018-08-28 19:56:49 +08:00
@greed1is9good app 的证书好拿吗
gamexg
2018-08-28 20:03:17 +08:00
@cc959798 本地 app 内部即使保存也只保存公钥指纹,私钥在服务器,所以获得没大意义。
可以试试安装自己的根证书,如果 app 没硬编码证书指纹就没问题。
cc959798
2018-08-28 20:53:49 +08:00
@gamexg 服务端的私钥确实拿不到
大神能详细说说怎么搞吗?
gamexg
2018-08-28 21:01:23 +08:00
@cc959798 #10 不是大神。

关键字 android 安装证书
或者 关键字 抓包工具(例如 Fiddler ) 证书
LeungJZ
2018-08-28 21:04:36 +08:00
charls 那些应该可以抓。加密后的就没办法了。https 就可以。
cc959798
2018-08-28 21:53:17 +08:00
@LeungJZ https 是加密的,没办法吗?
rockyou12
2018-08-28 22:34:52 +08:00
一般抓包软件都会给你个 ca,手机上装了就行。7.0 还是 8.0 后这块机制改了还必须在 app 里加个安全配置的 xml 文件,才能信任系统的自定义 ca。
beastk
2018-08-28 22:42:03 +08:00
ios 用 thor 吧,好使
nicevar
2018-08-28 22:44:54 +08:00
电脑上装个 anyproxy,手机 wifi 设置一下代理安装了 ca 证书就可以抓 https 了
chinvo
2018-08-28 22:46:01 +08:00
一般是没做 cert pinning 的,直接装抓包工具的跟证书然后启用 https 抓包就好
jisibencom
2018-08-28 23:00:22 +08:00
装了证书也是抓不到的,乱码。如 即刻
em91
2018-08-29 09:14:14 +08:00
iOS 抓包可以用 Stream 试试,免费~
Lostars
2018-08-29 09:54:35 +08:00
https://github.com/WooyunDota/DroidSSLUnpinning
你需要 hook

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/484052

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX