网站分页导航,廊坊百度快照优化,车工订单网站,python对接wordpress一、Android抓包方式 对Https降级进行抓包#xff0c;降级成Http使用抓包工具对Https进行抓包 二、常用的抓包工具 wireshark#xff1a;侧重于TCP、UDP传输层#xff0c;HTTP/HTTPS也能抓包#xff0c;但不能解密HTTPS报文。比较复杂fiddler#xff1a;支持HTTP/HTTPS…一、Android抓包方式 对Https降级进行抓包降级成Http使用抓包工具对Https进行抓包 二、常用的抓包工具 wireshark侧重于TCP、UDP传输层HTTP/HTTPS也能抓包但不能解密HTTPS报文。比较复杂fiddler支持HTTP/HTTPS协议篡改请求入参篡改响应效据设置请求断点重发弱网模拟。但是只支持Windowcharles基本功能跟fiddler一样。并且所有平台都支持界面简洁操作简单重点 三、抓包工具Charles 1.下载 官网地址Download a Free Trial of Charles • Charles Web Debugging Proxy 2.安装 下载完成之后直接点击安装即可。安装完成之后的界面 3.原理 网络编程Http知识 拦截请求代理客户端向服务端发送请求拦截服务端响应拿到服务端返回的公钥并返回自己的公钥证书目的是为了接下来的流程中加密会话秘钥客户端需要安装charies证书并添加信任否则会报证书无效错误客户端生成会话秘钥并使用charies公钥加密发送到服务端再次拦截请求用自己的私钥解密会话秘钥并使用前面拿到服务端公钥加密会话秘钥发送到服务端服务端使用自己的私钥解密会话秘钥使用会话秘钥去加密response并返回charies再次拦截响应使用会话秘钥去解密response展示明文从而达到https抓包的日志 4.证书配置 注意 在使用6.0及以下的手机的时候如果想要抓包Https只需要在手机上安装Charles证书就可以了但是如果使用的手机是7.0及以上版本的时候这个时候就不管用了需要手动的添加该证书的信任 原因 因为Android在不同的版本系统为了网络安全网络配置发生了一些变化 系统的网络安全配置 Android6.0及以下既支持信任系统证书也支持信任用户安装的证书也运行明文传输 base-config cleartextTrafficPermittedtruetrust-anchorscertificates srcsystem /certificates srcuser //trust-anchors /base-config 在Android7.0及以上不在信任用户安装的证书。这也就是为什么7.0以上的手机即便安装了charles证书依旧无法抓包的原因 base-config cleartextTrafficPermittedtruetrust-anchorscertificates srcsystem //trust-anchors /base-config 在android9.0及以上只信任系统证书并且不允许明文http的传输 base-config cleartextTrafficPermittedfalsetrust-anchorscertificates srcsystem //trust-anchors /base-config 解决方案 为了解决Android7.0及以上手机https无法抓包http无法传输的问题需要自定义网络安全配置 在res/raw目录下添加charles的证书文件charles.pem新增文件 res/xml/network_security_config.xml 文件将cleartextTrafficPermitted设置成true并增加trust-anchors标签引用添加进来的charles的证书 cleartextTrafficPermittedtrue  //允许在高版本上开启Http的明文传 ?xml version1.0 encodingutf-8? network-security-configbase-config cleartextTrafficPermittedtrue/trust-anchorscertificates srcraw/charles//trust-anchors /network-security-config 在清单文件manifest中的Application下添加网络安全配置文件这样就能抓包了 applicationandroid:networkSecurityConfigxml/network_security_config /application 增加debug-overrides标签只在debuggable为true的情况下才会应用这个网络安全配置文件 ?xml version1.0 encodingutf-8? network-security-configbase-config cleartextTrafficPermittedtrue /debug-overridestrust-anchorscertificates srcraw/charles //trust-anchors/debug-overrides /network-security-config 5.使用 如何配置charles完成Https数据报文的抓包 1.点击Proxy - Proxy Settings…查看charles的端口号8888 2.点击Help - Local IP Address查看本机的IP地址192.168.40.38 3.将手机wifi连接的代理设置成手动并输入上面的端口号和IP地址 4.让应用去信任charles证书 点击Help - SSL Proxying - Save Charles Root Certificate… 保存证书 5.将证书拷贝到项目中。在app下的res目录下新建一个raw文件夹并且把charles.pem文件拷贝过来 6.创建配置文件。在app下的res目录下新建一个xml文件夹在这个文件夹下新建一个network_security_config.xml 文件并填写配置信息 打开手机设置-密码与安全-系统安全-加密与凭据-安装证书-证书 然后将上面保存的证书push到手机上找到位置添加证书信任