首页   注册   登录

letitbesqzr

V2EX 第 45418 号会员,加入于 2013-09-14 14:31:10 +08:00
今日活跃度排名 68
9 G 6 S 64 B
立志成为包工头的搬砖者
letitbesqzr 最近回复了
49 分钟前
回复了 AfChu 创建的主题 问与答 关于微信环境内能开发 chrome 插件吗?
除了 oauth2 支付之类 不好模拟,其他其实都还好吧。。
1 天前
回复了 Coody 创建的主题 Java 使用 ELock 实现高性能分布式锁(非轮询)
赞,非常常见的场景,我们目前采用的就是 其他等待锁的线程去轮询获取锁,因为请求量小,所以没感觉出对系统有什么影响。有空学习下楼主的实现方式,感觉更加的优雅。
我猜楼主是说的如何绕过 android 7.0+ 以后的 SSL Pinning 吧。

比如微信 7.0 在 android 7.0+以上的版本,就会有 SSL Pinning, 只信任系统内置的证书。
"客户端在收到服务器的证书后,对该证书进行强校验,验证该证书是不是客户端承认的证书,如果不是,则直接断开连接。"

可以尝试以下几个方案:

1. xposed 及其插件 JustTrustMe (可以配合 virtualxposed)
JustTrustMe 是一个用来禁用、绕过 SSL 证书检查的基于 Xposed 模块。JustTrustMe 是将 APK 中所有用于校验 SSL 证书的 API 都进行了 Hook,从而绕过证书检查。

2. 将证书安装到系统证书中(需要 root )
系统证书的目录是:/system/etc/security/cacerts/
每个证书的命名规则为:<Certificate_Hash>.<Number>
Certificate_Hash 表示证书文件的 hash 值,Number 是为了防止证书文件的 hash 值一致而增加的后缀;
证书的 hash 值可以由命令计算出来,在终端输入 openssl x509 -subject_hash_old -in <Certificate_File>,其中 Certificate_File 为证书路径,将证书重命名为 hash.0 放入系统证书目录,之后你就可以正常抓包了。

3. VirtualApp (最简单的)
大概的介绍,VirtualApp 是一个开源的 Android App 虚拟化引擎,允许在其中创建虚拟空间,并在这个虚拟空间中运行其他应用。
我不是很清楚这个东西的原理,看介绍感觉应该是 VirtualApp 代理运行了程序,然而代理程序后并没有带 SSL Pinning 的功能?
实际测试,VirtualApp 直接把微信 7.0 在里面运行,直接按照以前的方法就可以进行抓包。
3 天前
回复了 karenn 创建的主题 全球工单系统 腾讯为什么要读取我的文件信息?
@Asice 别杠,那游戏一个用户量很大的外挂,官方提供的连接方式是采用 ss
4 天前
回复了 alvin666 创建的主题 问与答 服务器被扫后台怎么办?
不知道楼主在怕啥,怕流量耗完了?
估计是想保证后台接口的安全,加大非法用户调试的难度吧。。

几乎无解,加 sign 签名也只是加大别人读 js 的时间而已。
8 天前
回复了 Jex 创建的主题 Java 有多少 Java 程序员用 jOOQ ?
@applehater #37 互联网产品吧? 企业产品几乎不可能的,那几千上万张表的业务,不关联很麻烦。。
9 天前
回复了 Geekgogo 创建的主题 问与答 大家一般一个月用多少度电啊?
@iPhone8 #6 #6 冬天的空调,认真的? 两室一厅,白天出门上班,一个月 500 多度很正常。
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3762 人在线   最高记录 4236   ·  
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.3 · 8ms · UTC 03:42 · PVG 11:42 · LAX 19:42 · JFK 22:42
♥ Do have faith in what you're doing.
沪ICP备16043287号-1