Android7.0以上无法抓包问题解决。

最新推荐文章于 2024-09-03 09:12:20 发布
最新推荐文章于 2024-09-03 09:12:20 发布
阅读量3k 收藏 8
点赞数
分类专栏: 客户端&自动化测试 文章标签: charles抓包 Android无法抓包
原文链接:https://www.jianshu.com/p/392362115090
版权

在Android7.0 以上的设备中,使用charles无法抓取https的请求包。

Android7.0+的版本新增了证书验证,即app内不再像原来一样默认信任用户的证书。

1、在res底下创建一个xml文件夹,然后在内部创建一个名为 “network_security_config.xml”的文件,文件内容如下:

<network-security-config>
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" overridePins="true" />
            <certificates src="user" overridePins="true" />
        </trust-anchors>
    </base-config>
</network-security-config>

 2、在AndroidManifest里的<application>标签中,添加代码:

android:networkSecurityConfig="@xml/network_security_config"

添加以上的配置可能带来的风险或问题:

1、安全问题:
开启上述配置后虽然可以成功抓包,但不可避免的也会带来一些异常风险问题,换句话说就是,我们希望自己人可以抓到包,但又不希望外部的人员抓到包。
所以转换成需求就是:在测试、开发阶段可以抓包,但正式发布包不能抓包。
怎么办呢?
1、将前面AndroidManifest里的<application>标签中新增的代码改成 

android:networkSecurityConfig="${NETWORK_SECURITY_CONFIG}"

相当于由前面的静态引入证书文件改成了动态引入,然后
2、buildType中的release加入

release {
       manifestPlaceholders = [
           NETWORK_SECURITY_CONFIG: ""
       ]
}

buildType中的debug中加入

debug {
       manifestPlaceholders = [
           NETWORK_SECURITY_CONFIG: "@xml/network_security_config"
       ]
}

因为压根就没有引入证书文件,所以Release模式下打的包不能抓包,反之Debug包则可以。所以我们要做的就是开发测试阶段打Debug包、发布线上就打Release包即可。
其实,除了利用Release和Debug的包类型实现区分可不可抓包,使用环境域名中的base_url来决定也可以,判断方式有很多,具体用哪种好,怎么实现就需要自己去摸索了。

2、android7.0以上的手机,开着网络代理访问不了webview页面

我们需要在webview的WebViewClient中,将下面这行代码给注释掉

super.onReceivedSslError(view, handler, error);

这一段代码是为了忽略掉SSL证书错误,因为开启代理后网络会变得不安全,证书会错误,webview检测到证书错误之后就直接让webview白板,不请求任何数据。 这一节是为了忽略掉父类的处理,然后默认走下去。

 

 

 

 

 

Jack_Chen3
关注
专栏目录
Android7.0之后不能抓包--终极解决方案
qq_30946453的博客
01-17 8119
当升级targetSdkVersion 到 28 后发现在 Android 7.0 以上机型不能抓包了。上网搜了一下有很多解决方案,但都有弊端,最后参考墙外的一篇文章找到了一个最优解决方案 方案一: 1.添加res/xml/network_security_config.xml <?xml version="1.0" encoding="utf-8"?> <network-s...
第二十七:Fiddler抓包-抓取Android7.0以上的Https包(二)
欢迎来到本博客!这里是一个充满惊喜与挑战的世界。我们将为你带来如爆炸般震撼的观点、故事和体验。每一篇文章都像是一颗威力十足的炸弹,在你的思维世界里引爆,激发无限的思考与感悟。 独特的视角、精彩的内容,如磁石般吸引着每一位读者。无论是深度的分析、动人的情感表
10-14 647
【代码】第二十七:Fiddler抓包-抓取Android7.0以上的Https包(二)
安卓7无法抓包问题解决方案!!!
文佳铭的博客
12-20 742
创建一个txt文本,把上图中的-----BEGIN CERTIFICATE-----到结尾全部复制到txt,保存txt后,图片重命名,以我上面图为例,txt改成0的后缀:12e3e547.0。然后电脑下载MT文件管理器,必须root权限(默认已root),打开mt管理器root授权后重新打开此软件。右边手机的目录在:/system/etc/security/cacerts/在Charles里面下载.pem文件,这里我不过多描述了。pem证书转.cer证书。cer证书转.pem证书。模拟器我用的夜神模拟器。
Fiddler安卓设备抓包基础
最新发布
优土爱暴风
09-03 1468
2.保证安卓设备和电脑处于同一wifi下,安卓设备查看网络详情,设置代理为手动,代理主机名为自己电脑的ip,代理端口填8888。2.打开Tools-Options-Connections进行如下设置,Fiddler通用端口号:8888,记住这个后面要用。安装完证书后,点击打开Fiddler,此时你在安卓设备上点击app,这时Fiddler应该可以看到请求数据。3.设置https证书,目的是允许fiddler访问https请求。1.查看安装Fiddler的电脑ip。工具名称:Fiddler。
Android 7.0以上抓包失效
SOLO的博客
07-22 718
Android 7.0以上的系统抓包的时候,如果一段时间不用。关闭了抓包软件,而没有关闭代理。手机检查到通过代理无法访问网络。会让设置的代理失效,但是代理的设置信息不会改变。所有的请求都不会再走代理。这个时候打开抓包软件也没办法抓包。如果还想抓包,需要把代理设置为无,再设置成自己的代理。这个现象在小米和华为手机上都有。应该是Android系统的优化。 ...
如何解决 Android7.0之后部分手机无法抓包
muranfei的博客
04-10 2582
最近,测试提出来这么一个问题,说公司android7.0以上的手机针对https请求没办法抓包,他们拿不到数据。很是尴尬。 好了进入正题,通过一波的查阅资料过后发现:android7.0+的版本新增了证书验证,https的安全证书手机端和电脑端都必须安装,这个是前提;又由于android手机多厂商系统定制的问题,可能有部分手机确实无法抓包,这里, 对于抓包问题上,我们在给测试打包的时候要对我们的...
Android 7.0以上charles无法抓取部分https包问题
jie_0754的博客
02-20 984
AndroidManifest.xml文件的中添加android:networkSecurityConfig=“@xml/network_security_config”在res文件夹中创建xml文件夹保存配置文件,创建network_security_config.xml。手机通过访问chls.pro/ssl下载.pem证书,如无法安装,在文件管理器中将后缀名改为.crt。network_security_config.xml内容。以上基本配置结束后,看下代码。
Android7.0及以上https抓包
weixin_37496178的博客
03-16 340
理论上无论多少版本的Android系统,只要能将Charles的证书设置为系统证书就能正确抓取https下面是我个人的实现步骤。
Android 7.0+抓包https突破ssl-pinning方案抓包插件.zip
03-17
Android 7.0+ 抓包https方案,突破ssl-pinning 使用方法:https://blog.csdn.net/u014644574/article/details/104930877
android 7.0之后抓包unknown解决方法
咩咩咩咩咩的博客
10-10 2028
使用抓包软件(以 Charles 为例)抓取APP的 https 请求时,出现unknown Client SSL handshake failed: An unknown issue occurred processing the certificate (certificate_unknown) 1、Charles安装证书 3.10之前的,需要去http://www.charlesproxy.com/ssl.zip 下载 CA 证书文件,然后双击 .crt 文件,选择「总是信任」按钮(如下图),在钥匙串
第二十九:Fiddler抓包-抓取Android7.0以上的Https包(四)
欢迎来到本博客!这里是一个充满惊喜与挑战的世界。我们将为你带来如爆炸般震撼的观点、故事和体验。每一篇文章都像是一颗威力十足的炸弹,在你的思维世界里引爆,激发无限的思考与感悟。 独特的视角、精彩的内容,如磁石般吸引着每一位读者。无论是深度的分析、动人的情感表
10-23 783
【代码】第二十九:Fiddler抓包-抓取Android7.0以上的Https包(四)
Android 7.0 之后抓包 unknown 和证书无效的解决方案(无需改代码)
热门推荐
ShadowySpirits的博客
03-30 8万+
背景 使用抓包软件(以 Charles 为例)抓取APP的 https 请求时,AndroidCharles都正确安装了证书却出现抓包失败,报错: Client SSL handshake failed: An unknown issue occurred processing the certificate (certificate_unknown) 原因 Android7.0...
安卓7.0以上抓包方法
杭州无名测试
09-23 2353
作为测试,抓包定位前后端问题这是必须要做的,但是很多小伙伴,在app验证证书的时候,或者正式包的时候,就抓不了了。或者说在安卓高版本的时候就抓不了包了。
android版本7.0以上无法抓取https
hnnd123的博客
05-09 2724
由于android7.0+版本新增了证书验证,如果不增加配置默认是无法抓取https请求的。 解决方案: 在app清单文件的下增加:android:networkSecurityConfig="@xml/network_security_config" 来指定一个网络配置文件。 内容: <network-security-config> <base-config cl...
[Android日常]android版本大于7,使用Charles抓包问题
weixin_44511736的博客
07-24 1008
Charles 安卓抓包问题
解决安卓7.0以后https抓不到包的问题
ssrf
08-25 2306
1、把代理证书放到系统证书根目录下 安卓7.0以后,安卓不信任用户安装的证书,所以抓https时无法解码请求,对于第三方应用,需要将证书添加为系统证书,使用安卓手机添加证书。 需如下: root手机 安装openssl 1、burp到导出证书 2、计算导出证书的hash值 openssl x509 -inform DER -subject_hash_old -in C:\Users\s\Desktop\burp.cer 3、生成系统预设格式证书文件 openssl x509 -inform D
安卓抓包工具AndroidHttpCapture解决安卓系统7以上无法使用Charles抓包问题
lv_dw962464的博客
10-09 1556
接上一个Charles抓包博客Charles 抓包HTTP和HTTPS的配置【超详细步骤解释】,解决安卓7.0以上系统无法使用Charles抓包问题。 文章背景:我们惯用Charles抓包APP来解决问题,但是该抓包工具的抓包原理是通过虚拟证书来获取客户端系统对抓取服务的信任,从而抓取接口。但是安卓7.0以后,谷歌禁止安卓信任外部证书,导致Charles无法抓包,下面介绍一个新的工具进行抓包。 1.百度云下载安卓抓包工具——AndroidHttpCapture(百度云),提取码:lazg 2.手机直
Android7.0Charles抓包 出现无法抓包unknown和证书无效
BrodyWu
07-25 6万+
Android7.0Charles抓包关于android手机在mac版charles上抓不到包这个问题困扰了很久,查阅了很多资料,发现是android7.0系统安全策略问题Charles抓包正常流程1.在手机上配置证书 点击后:直接在手机浏览器输入: chls.pro/ssl ps:最好用UC浏览器 华为自带浏览器会下载一个pem文件,会直接在手机上无法安装2.在电脑上保存加密文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值