分析移动端APP的网络请求抓包

最新推荐文章于 2023-11-24 00:42:35 发布
最新推荐文章于 2023-11-24 00:42:35 发布
阅读量275 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/wxd0108/p/5428406.html
版权

为了方便,本文以 iOS 系统来进行演示。

使用代理

移动操作系统中都有可以设定系统代理的设置,比如在 iOS 中可以通过 Settings->WLAN 看到很多 Networks,通过点击它们后面的 Info 图标来设置代理:


点击 Info 图标

设置代理

这样的话,所有的请求就会先到我们设置的代理服务器,然后才有代理转发给目标服务器。于是我们就有机会在代理服务器上获取到请求的内容。

这里我使用的代理服务器是 Charles,在安装并打开了 Charles 之后,Charles 就已经在后台建立了一个代理服务了。我们可以通过 ifconfig 命令找到自己的局域网 IP,Charles 默认的代理端口是 8888。现在像上面的截图那样,在移动端中进行配置以使用我们的 Charles 代理。

现在你可以在移动端发起一些网络请求,当然最好是 HTTP 的,因为我不清楚 Charles 是否支持其他的协议类型。为了方便,我们可以使用 Safari 打开一段网址,比如 http://news.baidu.com (注意目前只是 HTTP 的,关于如何操作 HTTPS 下面会讲到)。题外话,正如你所见的,百度的最常用的功能就是检查网络服务的连通情况,比如 ping baidu.com,哈。

如果不出意外,那么你会在 Charles 左边栏中看到类似下图的情况:


 

那么说明我们的配置已经工作了,如果你点击它们中的一个,右边的界面中就会显示对应的请求内容:


 

很好,Charles 已经为我们做了很多事,现在我们可以轻松的知道发生了哪些请求以及请求的内容了。

HTTPS

现在我们试一试在 safari 中输入 www.baidu.com,我们知道百度在 www 子域中使用了 HTTPS,并且当发现用户使用的不是 HTTPS 访问此子域时,会自动的 redirect,于是我们到了 https://www.baidu.com

现在再来看看 Charles 中的情况,我们发现 https://www.baidu.com 前面多了一把小锁:


 

并且右边没有给出请求的内容,但是有一条提示 - 对于 SSL 代理需要进行额外的设置。

下面我就简单解释一下为什么对于 HTTPS 而言 Charles 就暂时罢工了。更加具体的内容,可以见我的这篇文章 非对称加密和数字证书

HTTPS 就是 HTTP over TLS,就是在原本的 HTTP 请求之前,客户端和服务器先进行 TLS 握手并建立一个 TLS 链接,然后在此链接之上进行 HTTP 协议的内容。这样就使得我们的明文请求变成加密的。但是这里还是有一个缺陷,就是 TLS 握手阶段是明文的,那么为了解决这种鸡生蛋蛋生鸡的问题,出现了证书 (Certificate) 和证书颁发机构 (Certificate Authority)。

于是在 TLS 握手阶段,多了一个校验证书的步骤,服务端会返回 CA 颁发给其的证书,而客户端对证书的真实性进行校验。由于现在的请求内容已经被加密,所以作为代理的 Charles 无法知道其中的内容,于是为了使得 Charles 可以解析 HTTPS 的内容,我们就必须协助其完成 Man-in-the-middle 攻击,攻击的对象就是我们自己。

攻击的方式很简单,在手机上安装上 Charles 的 CA 证书即可,所谓 CA 证书就是 CA 机构的证书,来证明 CA 机构的真实性,一些权威的 CA 机构的证书都是内置在我们的操作系统中的。现在我们在移动端上安装了 Charles 的 CA 证书之后,Charles 就变成了 CA 了,于是它就可以颁发一个伪造的证书来欺骗移动端中的应用。

如果你不想了解其中的原理的话,要实现这个攻击还是很简单的,Charles 也提供了很多的便利,按照下面的步骤就行了。

我们在 Charles 的菜单中找到 :


 

点击一下就会看到:


 

在移动端的 safari 中输入地址 http://charlesproxy.com/getssl 后,跟着下面的截图来将 Charles 制作的 CA 证书安装到移动端中:


 

 

 

 

 

到目前为止,Charles 制作的 CA 证书已经安装到了你的移动端,如果你希望删除它的话,可以通过 Settings->General->Profile 来找到它并删除,另外如果你不信任 Charles 自制的 CA 证书的话,它也是支持你使用自己的 CA 证书的。

再回到 Charles 进行一些设置,添加一下 SSL 规则:


 

Paste_Image.png

 

现在,再回到移动端,在 safari 中访问 www.baidu.com,然后再看看 Charles 中的结果,你会发现:


 

现在我们已经可以解析来自移动端的 HTTPS 请求了。

暂时就先写这么多吧?



文/mconintet(简书作者)
原文链接:http://www.jianshu.com/p/91fc80beb7a1
著作权归作者所有,转载请联系作者获得授权,并标注“简书作者”。

转载于:https://www.cnblogs.com/wxd0108/p/5428406.html

aikuangchou2298
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
抓包工具Fiddler使用(主要用于监听APP对外访问请求
点滴成长
06-08 6075
一、介绍 本人最近在做android开发,有时会遇到线上APP版本显示的数据“不符合预期”,查找问题时,特别需要查看一下请求参数是否有问题,但是直接通过线上日志又不是很方便,如果此时能有个抓包工具查看一下就好了。下面就介绍一款比较好用的抓包工具Fiddler。 二、安装设置步骤 1、下载软件Fiddler 下载链接地址为:https://www.telerik.com/downlo
安卓手机抓包工具,查看指定APP请求及服务端返回数据
10-15
手机抓包工具,可以抓取指定应用的网络请求,也可以抓取手机全部请求。偶尔开发时需要查看服务端返回数据是否异常是可以使用该APP抓包
FIddler抓包工具的应用(2)
最新发布
Missing的博客
11-24 129
(2)选择一张响应图片,执行重定向:点击“自动转发”,启用规则,并勾选Unpatch requests passthrough,然后将响应列单击拖入右方空白操作台。1.在实际项目过程中,如果用户需要修改前端页面,开发人员会通过fiddler修改服务器返回的响应,查看预期效果,选定后再修改代码,可以减少bug。(1)输入url地址,启动fiddler中的capturing,抓到服务器给出的全部响应数据。(3)修改配置数据,点击FiddlerScript,在搜索框中输入。(3)更改响应图片,点击“保存”
Android APP 抓包
孟志翔android博客-2020~fight!
06-14 4060
目录 0.前言 1.归因 2.抓不到 2.1 路由重定向+透明代理 2.2 强制全局代理 2.3 VPN 3.抓到了,然后呢? 3.1 系统校验证书 3.2 App自校验证书 3.3 双向校验 4.其他 5.尾声 6.参考 0.前言 实习一个半月,习得了一些App抓包姿势,于是自己总结了一套思路。第一次写技术文,欢迎各位批评指正。 1.归因 App抓包有两种失败: 1、笑死,根本抓不到。即丝毫抓不到我们想要的数据包。 2、抓到了,但又没抓到。通常表现为Burp中弹Aler.
Fiddler https 手机抓包 拦截重定向
iffy
03-28 733
1. 安装 到Fiddler官网下载安装:https://www.telerik.com/fiddler 2. 我们要开启Fiddler的HTTPS抓包功能,否则只能看到HTTP请求的内容,而HTTPS请求则是密文。 在Fiddler中点击 [Tools] — [Options] — [HTTPS] 勾选如下设置: 3.然后在 [Connections] 选项卡中勾选 [Allow r...
全网最强HTTP+Fiddler抓包实战教程 干得不能再干 (超级全面图文)
热门推荐
极客小俊
05-07 1万+
居然有人干了5年开发,居然抓包都不会!👿 但是不要怕,不要哭,跟着我学一定有收获! 兴趣就是你最好的老师,有兴趣就一定要学下去 , 卷死他们!🚀
手机应用通过wifi上网抓包教程
RationalGo的专栏
02-17 3126
因为要对手机应用进行抓包分析,准备自己手工配备抓包环境。 准备工作: Win7+无线网卡+抓包软件+能Wifi上网的手机 配置步骤: 1、在Win7下,以管理员身份启动cmd,输入以下两条命令创建虚拟Wifi,并启动Wifi。其中ssid为WiFi的名字,key为密码。 C:\>netsh wlan set hostednetwork mode=allow ssid=
App 抓包提示网络异常怎么破?
与君初相识,犹如故人归
07-01 893
首先,在https的建立连接过程中,当浏览器向服务端发送了连接请求后,服务器会发送自己的证书(包括证书有效期、颁发机构等)给浏览器,浏览器首先在本地根证书区域寻找是否有这个服务器证书的CA机构的根证书。如果有继续则下一步会进行验证服务器端的证书,如果没有弹出警告。验证通过后经过一系列服务器和客户端的信息交换,双方最终建立了通讯。
全网最详细,Fiddler抓包实战 - 手机APP端https请求(超详细)
软件测试技术分享官
07-07 1万+
Fiddler抓取App请求准备工作:将手机和电脑连接到同一路由器(保证两者能够ping通);如果使用的模拟器则不需要上面的步骤,因为模拟器是共享PC端的网络,两者网络默认就是连通的状态;查询PC端的IP地址;配置fiddler可以抓取远程端设备请求
安卓驱动软件开发!这些年Android面试的那些套路,最强技术实现
02-26 433
背景 本人双非渣本 今年由于疫情,上半年一直在家里。2月份本来无忧无虑,呆在家里不给国家添乱的时候,发现身边的同学找到了大厂的offer。心里开始有点慌张。本来想在3月份如果能回到学校,就开始考研之路,但谁曾想这个假期,一直到了9月份。在家也尝试过考研,自己还是耐不住学习的寂寞,放弃了。走上了找工作的路途。 3月份,开始投简历,在牛客网上,找了几个内推,投了字节,阿里和腾讯。(ps:那时候也不知道谁给的勇气)。本来以为自己的简历不可能过筛选的,但每个投的简历都收到了面试通知。 无一例外,每一次的失败都是以
httpCarry-app快速抓包软件
12-23
这款强大的抓包工具,还带有分析工具,可以当做是一个移动端的Fiddler或者Charles。在手机上安装后获取证书,可直接抓取安卓app的所有接口请求请求头、请求参数、接口响应数据齐全,可查看文本格式和json格式,...
利用burp进行对APP抓包教程
11-04
使用burpsuite对移动app抓包分析 阅读更多 测试移动APP的联网请求,需要获取路径或者参数的时候,使用该工具burpsuite非常方便! 要求: 移动终端和PC处于同一个wlan环境下
网络数据抓包工具fiddler4
05-31
抓包工具,浏览网页时,同步打开抓包工具,可以实时查看网络数据请求
APP抓包( 过二次校验思路)
01-08
过双向校验的,得先去APP里面找到证书,然后导入到抓包工具里面,因为在向前面所述博客文章,去伪造证书已经不管用了,我们先去找找特征。 比如 搜索 运气好的话能搜索到证书,但是一般都有密码。。 我这里这个APP...
旧版APP抓包教程.rar
04-13
旧版APP抓包教程
【爬虫】网页抓包工具--Fiddler
coco3600的博客
12-19 3737
【爬虫】网页抓包工具--Fiddler Fiddler基础知识 Fiddler是强大的抓包工具,它的原理是以web代理服务器的形式进行工作的,使用的代理...
fiddler抓包移动端APP端)
weixin_30377461的博客
12-03 166
在接口测试中,使用fiddler可以获取接口的服务器地址、接口路径、参数信息、请求方式,用处大大的。 本次介绍fiddler的几个使用场景: 1.如何配置,能能抓取Android APP的数据 2.查看抓取数据,包括使用的服务器地址、接口路径、请求方式、传递的参数,返回的数据 3.fiddler过滤器的使用,仅显示指定服务器的抓包数据 4.接口测试,模拟像接口发送请求。 1...
抓包工具-Fidder抓取web app请求
weixin_30682415的博客
03-25 324
1.什么是Fiddler,它可以做什么 Fiddler是位于客户端和服务器端的HTTP代理,也是目前最常用的http抓包工具之一。 Fiddler能够记录客户端和服务器之间的所有http请求,可以针对特定的http请求分析请求数据,设置断点,调试web应用,修改请求的数据,甚至可以修改服务器返回的数据,功能非常强大,是web调试的利器。 既然是代理,也就是说客户端的所有请求都要先经过Fid...
抓包工具Fidder详解(主要来抓取Android中app请求)
weixin_30755393的博客
02-24 419
$*********************************************************************************************$博主推荐:风萧兮兮易水寒,“天真”一去兮不复还。如何找到天真的那份快乐。小编倾力推荐app:天真无谐下载方式:豌豆荚,应用宝,360手机助手,百度手机助手,安卓,91市场搜索:天真无谐关注我们:查看详情$...
vue项目打包成移动端app
05-26
要将Vue项目打包成移动端app,你可以使用一些工具,比如: 1. Apache Cordova:Cordova是一个开源框架,可以将Web应用程序打包为本机应用程序,并且适用于多个平台,包括iOS和Android。你可以使用Cordova将Vue项目...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值