CI上动态配置是否支持https7.0抓包

最新推荐文章于 2022-06-20 14:58:43 发布
最新推荐文章于 2022-06-20 14:58:43 发布
阅读量594 收藏
点赞数
分类专栏: android学习笔记 文章标签: 动态配置 安卓7.0抓包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BruceHurrican/article/details/79079187
版权

转载请注明出处:
http://blog.csdn.net/brucehurrican/article/details/51778319

最近遇到个需求,需要抓取https包,在windows下,主要是通过 fiddler工具抓包,验证服务器返回的数据是否正确。需要注意的地方是,因为google在7.0之后修改了安全权限,对于非CA授权的https证书,需要手动设置
按照官方建议如下:

<?xml version="1.0" encoding="utf-8"?>
<manifest ... >
    <application android:networkSecurityConfig="@xml/network_security_config"
                    ... >
        ...
    </application>
</manifest>

res/xml/network_security_config.xml

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <debug-overrides>
        <trust-anchors>
            <certificates src="@raw/debug_cas"/>
        </trust-anchors>
    </debug-overrides>
</network-security-config>

因为需要在灰度阶段检测,所以只能打 release包。

为了检测这种场景,可以有多种方法,一种是在gradle中配置 buildType 新增一种类型,将上述设置代码放入相应类型下面,具体方法可以参考 android打包之重叠包技术浅谈 。今天我要介绍另一种方法,对于改动文件比较少的时候适用,像上面只需要改动两个文件 (AndroidManifest.xml 和 network_security_config.xml ) 就比较适合。

思路如下:
通过某种方法检测用户当前输入,是否支持7.0 https 抓包,来决定是否修改上述两个文件

代码如下 isCancelSupport7.0Https.py

#!/usr/bin/python
# -*- coding: UTF-8 -*-
import os;
import re;
import sys;

appManifestFileName="app/src/main/AndroidManifest.xml"
appNetworkSecurityConfigFileName="app/src/main/res/xml/network_security_config.xml"
manifestHttpsDebugSupportAfterNougatContent="android:networkSecurityConfig=\"@xml/network_security_config\""
removeSupportContent=""
isRemoveSupportCatchbag=sys.argv[1]==str(True) or (sys.argv[1]==str('true'))
print (sys.argv[1]==str(True)) or (sys.argv[1]==str('true'))
if(isRemoveSupportCatchbag):
    print "移除7.0以后系统可以抓取https功能"
    manifesFile=open(appManifestFileName,"r")
    lines=manifesFile.read()
    manifesFile.close()
    manifesFile=open(appManifestFileName,"w")
    manifesFile.writelines(re.sub(manifestHttpsDebugSupportAfterNougatContent,removeSupportContent,lines))
    manifesFile.close()
    print "AndroidManifest.xml 文件修改完成"
    print "删除抓取7.0功能配置文件..."
    os.remove(appNetworkSecurityConfigFileName)
    print "删除抓取7.0功能配置文件-->完成"
    # for line in manifesFile.readlines():
    #    print line
    # print manifesFile.next()
    # manifesFile.close()
else:
    print "用户开启7.0https抓包功能"

在命令行中输入 python isCancelSupport7.0Https.py false

这样在执行编译命令后,输出的就是支持 7.0https的 release包。

可以将该脚本和jenkins结合,在build 命令前执行,由打包人员动态设置是否需要支持 https 7.0 抓包。

参考资料:

网络安全性配置

BruceHurrican
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fiddler安卓7.0以上HTTPS抓包安卓9.0以上http抓包
taipingWen的博客
05-20 7682
Fiddler安卓7.0以上HTTPS抓包安卓9.0以上http抓包 问题:Android7.0及以上https无法抓包 升级了 targetSdkVersion 到 28 后发现在 Android 7.0 以上机型 Fiddler 抓取 https 包时显示找不到证书 问题原因 Android 6.0 network配置文件 <!-- 默认允许所有明文通信 --> <base-config cleartextTrafficPermitted="true"> <tru
TP5_Nginx_Ci_HTTPS_centos7_网站配置方法和文件
06-11
CI和TP5在同在一个域名,阿里云centos7上的nginx服务器配置,TP5放入二级目录admincp下,根目录为CI框架,支持HTTPS,含HPPS免费证书制作方法,双框架妥妥的。
Android 7.0+抓包https突破ssl-pinning方案抓包插件.zip
03-17
Android 7.0+ 抓包https方案,突破ssl-pinning 使用方法:https://blog.csdn.net/u014644574/article/details/104930877
Android 7.0 https 抓包实现
weixin_33809981的博客
03-15 947
说到抓包,这就是涉及到调试和安全问题,对于 Android 7.0 (API 24 )以下,你可以直接使用 Charles 安装相关证书配置好代理后直接实现。但是在 Android 7.0 之后,Google 推出更加严格的安全机制。 &lt;?xml version="1.0" encoding="utf-8"?&gt; &lt;manifest ... &gt; &lt;applic...
关于Android 7.0无法进行https抓包的问题
了解—学习—进步—满足
05-21 366
在App进行数据请求的时候,如果每次都打印log去判断是一件很不“人性化”的操作行为,所以一般都会进行抓包分析。   以最常用的软件Fiddler来说,进行普通的http抓包没什么事,但是对https抓包,要在本地安装Fiddler 的证书才可以,因为https是加密的。又因为是自己安装的拦截证书,系统通常都会提示,你的网络可能已被监控……   Android 7.0以下,安装完证书就可以进行https抓包了,但是7.0发现,即便安装了证书还是不能进行https抓包,一搜……果然有内幕,Googl
httpwatch7.0抓包工具汉化版
07-08
首先,HTTPWatch7.0抓包功能是其核心。它可以在浏览器内部运行,无需额外配置代理服务器,能够捕获浏览器发送的所有HTTP和HTTPS请求。这包括了页面加载过程中加载的图片、脚本、样式表和其他资源。通过显示这些...
Axure RP 7.0 汉化包
03-01
安装目录通常是C:\Program Files (x86)\Axure\Axure RP 7.0,但具体位置可能因用户的安装选择而异。将"lang"文件夹放在这里,是为了替换原有的语言文件,实现软件的汉化。 完成复制后,需要重启Axure RP 7.0软件以...
H3C CAS 7.0云计算配置指导培训视频教程【共15集】.rar
11-05
02 H3C CAS 7.0 配置云资源 03 H3C CAS 7.0 配置虚拟交换机 04 H3C CAS 7.0 配置共享文件系统 05 H3C CAS 7.0 搭建双机热备 06 H3C CAS 7.0 软件安装 (X86) 07 H3C CAS 7.0 软件安装 (ARM) 08 H3C CAS 7.0 CVM...
H3C UIS V7.0超融合产品配置指导书汇总集.rar
04-13
01 H3C UIS超融合产品GPU直通配置指导 02 H3C UIS超融合产品vGPU配置指导 03 H3C UIS超融合产品爱数解决方案配置指导 04 H3C UIS超融合产品分布式存储配置指导 05 H3C UIS超融合产品容灾操作指导 06 H3C UIS超...
Axure 7.0 汉化包
02-08
c:\Program Files (x86)\Axure\Axure RP Pro 7.0 Beta (32位Windows) 或 c:\Program Files\Axure\Axure RP Pro 7.0 Beta (64位 Windows) 目录中; ② 启动 Axure 即可看到简体中文界面, 说明已成功汉化,如果仍为...
CodeIgniter基本配置详细介绍
12-19
$config[‘base_url’] = “https://www.jb51.net/”。 您网站的网址,CodeIgniter 会根据这个网址来生成链接、表单地址等。$config[‘index_page’] = “index.php” CodeIgniter 根目录下的 index.php 文件名,CodeIgniter 会使用它来生成链接地址。如果使用隐藏 index.php 的 URL,将其设置为空字符串:$config[‘index_page’] = “”。$config[‘uri_protocol’] = “AUTO” CodeIgniter 生成 URL 使用的格式,设置为“A
TongWeb V7.0 服务配置指南
最新发布
07-31
TongWeb V7.0 服务配置指南 TongWeb V7.0 服务配置指南是东方通应用服务器软件TongWeb V7.0 的官方配置指南。该指南详细介绍了TongWeb V7.0配置过程,涵盖了Session管理、RedisSession架构模式、TongWeb-MQ使用...
Android 7.0中新签名对多渠道打包的影响详解
08-31
多渠道打包是一种常见的Android应用发布策略,它允许开发者针对不同的分发渠道(如应用商店、广告网络等)创建定制化的APK,每个渠道包内包含特定渠道的标识和配置。然而,Android 7.0的更新对这一过程提出了挑战。 ...
tomcat7.0
01-30
tomcat7.0和tomcat7.0的源码,因为初学者很多不会改端口,里面我做了教程,因为学习过程中,很多人都会出现8080端口被占用情况,所以我的貌似改为了8088.我还有很多工具和笔记集合,在我软件开发包里,因为最低需要2积分,...
微信小程序抓包
01-03
我们知道,微信小程序的请求接口都是HTTPS,因此单纯的使用Burpsuite无法抓取数据包,原因是APP启用了SSL ...weixin_v6.6.5.apk (7.0以下都可以) HttpCanary 以上安装包,不认识的自行百度了解,这里不做讲述 安装 1
Ci框架的基本使用
u014265398的博客
12-10 641
ci框架下载路径:https://codeload.github.com/bcit-ci/CodeIgniter/zip/3.1.9 ci框架官方手册:http://codeigniter.org.cn/user_guide/#id3 1.加载数据库连接 $this-&gt;load-&gt;database(); $sql=“select * from test”; $row= this−&am...
Android如何用release包抓包
zhaojun的博客
12-14 3297
首先说明,在Android以上的app,已经不允许release包抓包了,但是我们自己打的relase包可以通过修改配置文件达到抓包的目的。
Android 网络安全配置正式服和测试服 network-security-config
weixin_38736404的博客
06-20 4535
说明:日常开发中,如果需要正式服和测试服过滤明文传输的话,可以这样设置。步骤一:在res资源文件夹下创建xml文件夹,在xml文件中创建 network_security_config_debug.xml 和 network_security_config_release.xml。并且配置需要过滤的域名 步骤二:在build.gradle 中配置如下代码: 步骤三:在AndroidManifest 中的 application 中设置我们的网络安全配置。 完毕。...
关于安卓7.0及以上的Https请求抓包问题android:networkSecurityConfig
qq_17767113的博客
10-31 7789
Android 7.0(API 级别 24)及更高版本默认只承认系统CA,所以默认是安全的,不需要配置。如果想要系统承认用户自己安装的CA,则修改配置(比如调试时会需要抓包)。 面向 Android 6.0(API 级别 23)及更低版本应用的默认配置如下所示,这段配置的意思是,承认系统CA和用户自己安装的CA,但这是一个默认配置,目前在6.0及以前好像都不起作用,即使去掉了user,依然承认自己...
安卓7.0以上抓包https
03-25
A:在安卓7.0及以上版本中,由于Google升级了网络安全标准,https的请求无法直接抓包,需要使用ssl pinning技术来验证证书。 一种比较简单的方法是使用Charles代理工具,通过在手机上安装Charles根证书并进行SSL证书重定向,把手机上https请求的数据流量导流到Charles代理软件进行捕获和分析。 具体操作步骤如下: 1. 在PC端下载并安装Charles代理工具,启动软件。 2. 在手机上安装Charles根证书,打开手机浏览器访问chls.pro/ssl下载证书。 3. 打开手机设置-安全-凭据存储,找到已安装证书,打开安装证书并选择“受信任的凭据颁发机构”。 4. 在Charles软件中,勾选Proxy-SSL Proxying Settings中的Enable SSL Proxying,添加需要抓包的域名。 5. 在手机需要抓包的应用中,将代理地址设置为电脑IP和Charles代理端口号(默认为8888)。 6. 在手机应用中进行https请求时,Charles会截获该请求,将加密的https数据解密并显示在Charles界面中。 需要注意的是,除非你拥有合法的授权,否则通过抓包方式窃取他人的信息是非法的。所以请在合法的范围内使用这种方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值