移动安全Android——解决APP抓包证书无效问题

最新推荐文章于 2025-06-02 21:58:41 发布
最新推荐文章于 2025-06-02 21:58:41 发布
阅读量840 收藏 5
点赞数 10
分类专栏: 移动安全 文章标签: android Burpsuite ProxyPin APP抓包 SSL证书错误
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W13680336969/article/details/148234734
版权

问题

        通过Burpsuite和ProxyPin进行代理抓包Android APP的时候发现虽然已经正确添加了用户证书,但是还是会出现SSL握手错误,证书无效问题。这是因为Android 7 以上版本APP默认不信任用户证书,只信任系统证书,所以需要将用户证书移动至全局系统证书才能抓到HTTPS的流量包。

Burpsuite

(1)手机和电脑连接同一个WIFI,或者保证手机和电脑在同一个局域网下,Burpsuite设置监听

(2)手机网络代理设置为Burpsuite的监听地址

(3)手机浏览器访问Burpsuite监听地址进行证书下载,默认证书后缀是.der需要修改为.cer

(4)手机根据以下路径安装刚刚下载的Burpsuite证书

设置-->系统安全-->加密与凭据-->从SD卡安装

(5)手机打开APP应用进行抓包测试,出现抓不到包并且提示证书未正确安装的问题。这是因为通过上述步骤安装的证书为用户证书,APP不信任用户证书,所以出现证书未知问题。

(6)在手机以下路径中找到刚刚安装的Burpsuite用户证书

/data/misc/user/0/cacerts-added/

(7)将其移动到系统证书目录中

/system/etc/security/cacerts

(8)确认PortSwigger是否已经添加成为系统证书并且是开启状态

设置-->密码与安全-->系统安全-->加密与凭据-->信任的凭据

(9)再次打开APP尝试抓包,此时已经可以正常抓到HTTPS的流量包

ProxyPin

GitHub - wanghongenpin/proxypin: Open source free capture HTTP(S) traffic software ProxyPin, supporting full platform systems

(1)Proxypin下载完成后,启用HTTPS代理选项,并导出根证书

(2)将导出的证书推至手机

(3)通过手机以下路径导入刚刚的证书

设置-->密码与安全-->系统安全-->加密与凭据-->从SD卡安装

(4)同样在以下路径找到新增的用户证书

/data/misc/user/0/cacerts-added/

(5)将其移动到系统证书目录下

/system/etc/security/cacerts

(6)确认ProxyPin证书已被正确添加为系统证书

设置-->密码与安全-->系统安全-->加密与凭据-->信任的凭据

(7)打开APP应用,可以正常抓到HTTPS的流量包

Android面试八股文】谈谈OkHttp框架的原理(深度剖析源码)
字节卷动
07-13 990
OkHttp是一个开源的网络请求框架,由Square公司开发和维护,用于在 Android 和 Java 应用中发送和接收HTTP请求。Google在Android4.4以后开始将源码中的底层实现替换为OKHttp,同时现在流行的Retrofit框架底层同样是使用OKHttp的。它提供了简单而强大的API,支持同步和异步请求,并在性能和可扩展性方面表现优秀。主要特性和优势:支持 HTTP/2 和 SPDY。
深度解析Flutter开发大厂App(强烈推荐,值得收藏)
weixin_43901866的博客
05-19 4321
之前,也写过几篇关于 Flutter 的博文,最近,又花了一些时间学习研究 Flutter,完成了高仿大厂 App 项目 (项目使用的接口都是来自线上真实App抓包而来,可以做到和线上项目相同的效果),也总结积累了一些小技巧和知识点,所以,在这里记录分享出来,也希望 Flutter 生态越来越好 (flutter开发App效率真的很高,开发体验也是很好的 ????)。 以下博文会分为3个部分概述: 项目结构分析 项目功能详细概述(所用知识点) 小技巧积累总结 项目结构分析 其次,梳理下项目的目录结构,理
APP抓包工具
小马哥的博客
12-29 5597
随机互联网的发展,数据不仅仅只是存在于PC端。移动端的数据在这几年的占比以及势头发展趋势呈现几何倍数的增长。对于做数据分析、用户画像、市场调研来说仅仅参考PC端的数据是远远不够的。那么于此同时移动的数据就显得尤为的重要
与后端或APP联调时如何定位问题3——移动端对接
jean850218的博客
08-28 3186
移动端联调主要是三类问题: 第一类问题,后端返回的数据是否符合要求 第二类问题,JSBridge传参或回调错误 第三类问题,兼容性问题 三类问题中,除了第一类查看服务端返回的数据是否符合要求可以在pc机上调试,另外两种都需要真机调试,如何连接真机调试呢? 非常重要:真机调试的APP一定要用debug包,找你对接的APP开发人员打debug包给你,同样,你部署到测试服务器的JS、CSS不要开...
Android开发——WebView轻量缓存优化
关于Android开发的一些技术点总结 ╮( ̄▽ ̄”)╭
11-28 3921
0. 前言产品被用户投诉 APP 流量消耗厉害:[2017-08-08 07:34:40] 严选 APP 流量消耗太大啦,每次启动都更新,下面流量很大。建议优化流量的消耗,可以对加载画质进行选择。想比淘宝 APP,消耗流量可是大多了。[2017-06-01 21:43:36] 怎么用有流量节约模式,一会用了我 200M。[2017-06-12 08:32:25] 严选 app 太费流量了。于是乎
移动APP测试点、思路分析总结(精炼)
Super_TianLei的博客
09-24 1703
1、安装测试 1.1安装前测试 1.1.1检查文件是否齐全 1.1.2检查杀毒软件是否认为该安装包是病毒 1.1.3apk文件病毒检查 1.2安装中测试 1.2.1流程分析法 1.2.2应用商店安装 1.2.3adb安装 1.2.4上传apk文件到sd卡安装 1.2.5 浏览器下载安装 (安装中的预期结果为桌面上出现软件的图标) 1.3安装后测试 1.3.1运行检查 1.3.2安装后文件是否正确 1.3.3 启动检查(预期:进入主页,页面空间显示正常) 1.3.4权限检查(e
Android逆向分析概述
along
06-04 4525
学习逆向的初衷是想系统学习Android下的hook技术和工具, 想系统学习Android的hook技术和工具是因为Android移动性能实战这本书. 这本书里用hook技术hook一些关键函数来计算关键函数的调用参数和调用时长, 从而确定性能问题发生的位置和原因. 但目前有比较系统的讲解hook的书籍, 所以就系统的了解下逆向分析. 在读了姜维的Android应用安全防护和逆向分析和丰生强的...
抓包工具总结对照【fiddler F12 Charles wireshark】
汪敏的博客
11-16 2723
Charles是一个http代理服务器,当浏览器连接charles的代理访问互联网时,Charles可以监控浏览器发送和接收的所有数据。验证下手机请求,当我们看到Charles里能抓到这个连接,就说明配置问题,看到unknown,这个不要紧,那是我们有安装针对手机端的证书,下面继续我们手机端HTTPS证书安装。wireshark是一款专业的通过抓取网络数据包进行网络检测,网络协议分析工具,可以实时监测网络传输数据,全面透视整个网络的动态信息。安装证书后不能打开浏览器,证书问题。傻瓜式安装,next。
【爬虫】网页抓包工具--Fiddler--Request和Response
小麦苗DBA宝典
05-07 5963
【爬虫】网页抓包工具--Fiddler--Request和Response 【爬虫】网页抓包工具--Fiddler Fiddler基础知识 Fiddler是强大的抓包工具,它的原理是以web代理服务器的形式进行工作的,使用的代理地址是:127.0....
Android推送、智能心跳解决方案、手机休眠对心跳的影响
热门推荐
薛瑄的博客
06-08 1万+
参考: Android推送技术研究 Android实现推送方式解决方案 Android微信智能心跳方案 Android休眠问题探讨Android推送服务的几种实现方式一、推送方式基础知识:  在移动互联网时代以前的手机,如果有事情发生需要通知用户,则会有一个窗口弹出,将告诉用户正在发生什么事情。可能是未接电话的提示,日历的提醒,或是一封新的彩信。推送功能最早是被用于Email中,用来提示我们
Android推送 智能心跳解决方案 手机休眠对心跳的影响
qq_43667831的博客
01-10 1072
Android推送 智能心跳解决方案 手机休眠对心跳的影响
Android开发、adb、monkey测试
weixin_61422097的博客
04-08 1730
一、 手机测试概念 传统手机测试 VS 手机应用软件测试 传统手机测试:指测试手机本身比如抗压,抗摔,抗疲劳,抗低温高温等。也包括手机本身功能、性能等测试。 手机应用软件测试 C/S Client/Server 手机应用软件是基于手机操作系统之上开发出来的软件,做这样的测试就叫做手机应用软件测试。 二、手机端常规测试 2.1.What 2.1.1.介绍手机测试的概念架构 对于手机端测试,按照平台来分,分为Android和IOS两大主流系统 Android后缀apk,ios后缀..
Android的uid~package~pid的关系
苏法迪的专栏
06-01 349
Android 应用包名(例如android),一个 UID 可关联多个 Package(共享 UID 场景如android:sharedUserId="android.uid.system")。Linux 系统级用户标识,Android 中每个应用安装时分配唯一 UID(如。进程运行时动态分配的临时标识,同一 Package 可运行多个进程。(共享UID),是 Android 高效运行的基础。
android bluetooth 协议分析 03】【蓝牙扫描详解 1】【扫描关键函数 btif_dm_search_devices_evt 分析】
奔跑吧 android 的博客
05-31 628
本文分析了蓝牙协议栈中的关键函数btif_dm_search_devices_evt,该函数负责处理设备扫描阶段的核心事件。其主要职责包括:接收底层扫描结果事件(如新设备发现、扫描完成等)、解析设备基础信息(名称、RSSI、配对状态等)、封装数据并通知上层应用。文章详细阐述了该函数处理的三个关键事件类型:BTA_DM_INQ_RES_EVT(设备发现时触发,需解析EIR数据获取设备信息)、BTA_DM_INQ_CMPL_EVT(扫描结束事件)和BTA_DM_SEARCH_CANCEL_CMPL_EVT(取消
Android高级开发第三篇 - JNI异常处理与线程安全编程
2503_90221393的博客
06-02 782
Java异常传播到C代码:Java方法抛出异常,需要在C代码中检查和处理C代码中的异常传播到Java:C代码发现错误,需要抛出Java异常在多线程环境中,多个线程可能同时访问和修改相同的数据,导致数据不一致或程序崩溃。JNIEnv不是线程安全的:每个线程都有自己的JNIEnv指针全局引用的并发访问:多个线程访问同一个全局引用静态变量的并发修改:C代码中的静态变量被多个线程修改异常处理和线程安全是JNI开发中的核心技能。异常处理总是检查Java方法调用后的异常状态。
使用 PHP 和 Guzzle 对接印度股票数据源API
最新发布
data9527的博客
06-02 621
对接可能涉及获取实时或历史的金融市场数据,如股票价格、交易量、市场新闻等。为了帮助你更好地理解如何使用 PHP 对接 StockTV API,下面我将提供一个通用指南和示例代码。
安卓学习笔记-数据存储
wy53111的博客
05-29 768
本文是《安卓学习笔记-声明式UI》的续篇,重点探讨数据存储层与业务逻辑层的解耦。
Kotlin 活动事件通讯跳转深度讲解
Dola的博客
05-29 1239
本文深入探讨了Kotlin开发中Android活动间通讯与跳转的关键技术。首先介绍了活动跳转的核心概念Intent,包括显式和隐式两种调用方式;其次详细讲解了活动间数据传递的多种方法,如通过Intent传递基本数据类型、使用Bundle传递复杂对象;还分析了广播机制在事件通讯中的应用,包括动态/静态注册及优化策略;最后结合实际案例,阐述了生命周期管理、性能优化等实践经验,为开发者提供了全面的技术指导。
Android】如何抓取 Android 设备的 UDP/TCP 数据包?
宾有为的博客
05-30 1335
UDP/TCP抓包,你不会还不知道吧?快点进来,手把手教你,包教包会。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值