安卓APP测试之使用Burp Suite实现HTTPS抓包方法

最新推荐文章于 2024-07-04 18:09:52 发布
最新推荐文章于 2024-07-04 18:09:52 发布
阅读量7.5k 收藏 3
点赞数
分类专栏: 抓包工具 测试工具 Android iOS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Alvin_Lam/article/details/50527796
版权
本文介绍了在安卓APP测试中如何利用Burp Suite抓取HTTPS包,包括工具准备、抓包原理、配置过程,详细阐述了如何设置代理、导出并安装Burp Suite根证书,以及在手机上配置代理以实现HTTPS流量的抓包。
摘要由CSDN通过智能技术生成

APP的测试重点小部分在APP本身,大部分还是在网络通信上(单机版除外)。所以在安卓APP测试过程中,网络抓包非常重要,一般来说,app开发会采用HTTP协议、Websocket、socket协议,一般来说,HTTP协议最多,Websocket是后起之秀,socket最少,而针对HTTP和websocket,Burp Suite工具是最适合不过的工具了。但是在遇到了app使用SSL或TLS加密传输(https)的时候,由于证书不被信任,直接导致网络通信终端,抓包失败。本文介绍如何使用Burp suite抓取https包。

Burp抓取安卓APP的HTTPS流量

一、工具准备

安卓手机一部(Nexus4,原生安卓,未root)

笔记本(带有无线网卡,可以创建wifi热点)

wifi热点软件/同一局域网

Burp suite软件(抓取HTTP、HTTPS、Websocket包)

二、抓包原理

通过Burp suite代理方式,将手机的流量通过Burp suite;导出Burp Suite根证书(PortSwiggerCA.crt)并导入到手机中,手机的HTTPS流量将可以通过Burp suite代理。

三、配置过程1. 保证网络能进行代理

最低0.47元/天 解锁文章
Alvin_Lam
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Burp Suite实现安卓app抓包
weixin_45284414的博客
04-01 841
burp中:进入proxy-option-proxy listener-add 地址为上一步的ip,端口也是相同。在模拟器中:长按wifi名-修改网络-勾选高级-选择手动代理 地址为电脑本机ip,端口随意设置。回到安卓模拟器,打开【设置】,选择【安全】,找到【从SD卡安装】,找到你的证书即可。然后选择 der 格式,以.cer后缀命名。
App渗透】用BurpSuite抓包安卓手机app内容(详细)_burpsuiteapp
2401_84520271的博客
05-01 1073
很多情况下,在电脑的手机模拟器上面做app测试会存在大大小小的bug或者各种坑,而且有些模拟器很不方便,非常不好用。网上的教程虽然多,但是大部分都是两年前的甚至更晚的,跟着一步步来也是会错。为了避免这种情况的发生,所以有了这篇文章。在本机上面做app渗透,才是最稳定的。当然,我检测的app都是公司的产品,如果是你们要测一个不知情的app,还是建议杀杀毒,或者另外某🐟上面买一台二手的安卓机,非常便宜,几百块的手机到处都有,反正就是做个app测试,专门给自己买个测试机或者拿来搞安卓逆向都是很香的。
App渗透】用BurpSuite抓包安卓手机app内容(详细)
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
06-26 1万+
BurpSuite进行抓包,在本机,安卓手机上面作app渗透,详细的用burpsuite安卓手机上作app渗透的教程。
Burpsuite抓取APP、小程序数据包教程】
最新发布
baimao__Ch的博客
07-04 805
本节主要讲如何利用burpsuite抓取APP和小程序数据包,希望对你有帮助!
Android系统Burpsuit实现https数据包
cavalier的学习之路
08-07 6224
前言 这几天要对移动终端上的微信公众号服务和APP进行测试,利用burp神器对其数据包进行拦截测试,但是中间遇到了很多问题,现在就如何设置才能正常抓取HTTPS数据包进行一番总结。 一.基础知识 1.在运行中certmgr.msc启动证书管理器 从这里我们就可以直接查看或者导出我们需要的证书,当然也可以从浏览器直接导出。 2.HTTPS工作原理 HTTPS其实是有两部分
App使用burphttps
weixin_34160277的博客
10-09 341
采用https的服务器必须从CA (Certificate Authority)申请一个用于证明服务器用途类型的证书。该证书只有用于对应的服务器的时候,客户端才信任此主机。 burpsuite抓取https原理:第一步, burp向服务器发送请求进行握手, 获取到服务器的CA证书, 用根证书公钥进行解密, 验证服务器数据签名,获取...
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 863
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
burpsuite抓取手机APP的http、https数据包——教程
热门推荐
W小哥
04-02 1万+
第一种:使用真实安卓手机抓取APP数据包 第二种:使用安卓模拟器抓取APP数据包 第三种:使用安卓模拟器抓取 微信小程序、微信公众号 数据包 在抓取微信小程序和微信公众号的数据包的时候,怎么也抓取不到,这就很难受 百度后发现一个大佬分享的文章内容:https://www.it610.com/article/1281515529177153536.htm 安卓系统 7.0 以下版本,不管微信任意版本,都会信任系统提供的证书 安卓系统 7.0 以上版本,微信 7.0 以下版本,微信会信任系统提供的证书 安卓系统
Burpsuite抓取app数据包
一期一会的博客
02-11 3317
0x00 工具下载 逍遥模拟器官网 https://www.xyaz.cn/ 0x01 证书安装 Burpsuite证书下载,找到import/export CA certificate 选择第一个,然后找路径下载 将下载好的证书后缀更改为.cer 将证书导入模拟器中 在模拟器中找到安全选项,选择从SD卡安装即可 0x02 设置代理 手机端选择WLAN修改网络,高级中代理服务器写电脑主机ip,端口随意,只要和Burpsuite保持一致即可 Burpsuite中添加 拦截打开,手机端数据即可被B
Burpsuite抓取手机app数据包
demopy’s blog
09-10 2531
1、打开burp,proxy代理处,options设置,add添加一个代理。 2、选择所有接口,端口为8081(随便一个就好),点击ok,burp就设置好了。 3、现在在手机上设置,电脑打开热点,或者同一局域网下。 手机连接上同一wifi后,设置电脑的ip地址,和burp里设置的端口。 1、进入wifi设置 2、http代理设置为手动,配置http代理 3、查看电脑ip 将手机代理设置为电脑的ip就好了。 4、测试效果 设置好后,开启抓包,手机访问知乎APP,数据包就抓取到了。 ...
使用Burp Suite 对Android手机抓包
kevinlinkai的专栏
12-10 7592
前提: 使用Burp Suite 软件抓包。 手机需要root。安装软件proxyDroid。 步骤: 一 打开Burp Suite 进入Proxy --》 Options 如下: 二 点击Add 输入自定义的端口地址:即port,我输入的时3128 选择Specific address 不要选择127.0.0.1,选择一个全局的IP地址,我的是:172.16.
burp suite抓取app
qq_37394476的博客
08-10 2403
前言:使用burpsuite抓取app包、手机浏览器数据,可以实现吗?答案是可以的此文章使用夜神模拟器+burpsuite作演示;下载夜神模拟器(官网下载即可),打开进入夜神模拟器(如下图)回到电脑主页面,打开cmd,输入命令ipconfig,将ipv4地址---这一行ip复制出来,后面会用到打开夜神模拟器,修改为手动代理,长按无线这个标志进入如图所示界面长按这个无线网,...
使用Burpsuite安卓APP和微信小程序抓包教程大全(保姆级教学)
qq_34780861的博客
01-07 6426
微信Windows软件,必须是3.6.0—3.7.0版本下载链接:https://pan.baidu.com/s/1zLkKdz1CG525zSyY28k7yA?在浏览器的扩展插件里下载Proxy SwitchyOmega插件后,按下图所示进行相应的配置。然后再在浏览器里下载证书,浏览器里输入http://burp 右上角下载证书。Proxifier软件下载链接:https://pan.baidu.com/s/1XeyhAdbWaV2c3O54LiP39g?2、打开夜神模拟器,配置好代理后。
使用burpsuite对手机端APP抓包
buffedon的博客
05-28 6434
burpsuite在手机APP抓包burpsuite在手机APP抓包APP的包准备条件操作流程1. 在电脑端或手机下载burpsuite证书2. 将下载好的证书传到手机上,并进行安装。3. 手机端设置代理4.在burpsute上增加一个代理网页安全证书为什么用burpsuite抓包,需要安装证书SSL中的公钥算法和会话密钥 burpsuite在手机APP抓包APP的包准备条件 手机和电脑要在同一网段(将手机和电脑连接同一个WIFI) 手机的代理指向电脑的IP,端口为8080 手机上要有网页证书
BurpSuite抓包手机模拟器APP
技术超强的网络安全平台
03-01 1372
1、BurpSuite配置图 2、模拟器配置 3、证书下载安装,打开浏览器,输入配置好的IP端口 4、进入设置->安全->从SD卡安装证书,找到重命名的证书文件cacert.cer安装 5、打开APP或者浏览器测试抓包数据 6、Fiddler设置,模拟器设置同上   ...
安卓app https抓包burpsuite
andy7002的博客
07-08 889
模拟器里抓https 1. 在需要抓包的电脑上,安装firefox45(其他版本未测) 2. 导出本机证书 证书格式如下:   3. 上传到手机sd卡 4.手机安装证书  设置 -> 安全 -> 从sd卡安装证书 安装成功的证书如下 5.测试 手机浏览器访问百度
Burpsuite之夜神模拟器之手机APP抓包设置
weixin_50464560的博客
09-27 1151
Burpsuite之夜神模拟器之手机APP抓包设置 </h2> <div class="postbody"> <div id="cnblogs_post_body" class="blogpost-body blogpost-body-html"> 题目起的挺绕的,主要是可能使用不同的模拟器会有不同的问题产生,有时候IT是一个玄学问题。 事情的起因是我买了一个安全牛的内网课程,想要加QQ群,但是不得不说搞安...
burpsuite抓真机app
10-20
Burpsuite是一款常用的网络安全测试工具,可以用来抓取真机app包。具体步骤如下: 1. 在电脑上安装Burpsuite,并设置代理为本地电脑的IP地址。 2. 在Burpsuite中导出证书到指定文件夹。 3. 在手机中设置代理为本地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值