抓包https请求网络异常/无数据怎么破?歪歪老师来帮你!

于 2023-10-07 15:08:38 发布
阅读量363 收藏
点赞数
文章标签: https 网络协议 http jenkins 职场和发展 测试工具 fiddler
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caixiangting/article/details/133640189
版权

以“贝壳找房”为例:

Fiddler中看到的请求是这样的:

图片

你可能开始找证书的问题:是不是Fiddler/Charles的证书没有导入的手机中去?配置一遍又一遍,又开始对比web端浏览器的https发现没问题。这时候你可能已经开始怀疑人生了。

那么究竟是不是证书的问题?

没错,就是证书的问题,但跟你想象中的证书有点不同,不是Fiddler内置证书的问题,而是App内置证书的问题 -- SSL Pinning机制

如果你想学习自动化测试,我这边给你推荐一套视频,这个视频可以说是B站播放全网第一的自动化测试教程,同时在线人数到达1000人,并且还有笔记可以领取及各路大神技术交流:798478386    

【已更新】B站讲的最详细的Python接口自动化测试实战教程全集(实战最新版)_哔哩哔哩_bilibili【已更新】B站讲的最详细的Python接口自动化测试实战教程全集(实战最新版)共计200条视频,包括:1、接口自动化之为什么要做接口自动化、2、接口自动化之request全局观、3、接口自动化之接口实战等,UP主更多精彩视频,请关注UP账号。icon-default.png?t=N7T8https://www.bilibili.com/video/BV17p4y1B77x/?spm_id_from=333.337

什么是SSL Pinning?

首先,在https的建立连接过程中,当客户端向服务端发送了连接请求后,服务器会发送自己的证书(包括公钥、证书有效期、服务器信息等)给客户端,如果客户端是浏览器,则使用内置的CA证书去校验服务器证书是否一致。

那么为什么Fiddler能够抓的到浏览器的https请求呢?原因就是在于用户可以自由的将第三方的证书导入到浏览器内置的CA证书集中。

图片

明白上述一点之后,我们再回到App客户端,App默认是信任系统(Android or IOS)用户第三方安装的的CA证书集的,有一些App能够通过Fiddler抓到包的原因是因为:我们可以在系统的用户CA证书集中添加Fiddler的证书。这样App就能信任证书是安全的,放心的发送请求了。

图片

但是现在随着系统的更新,Google or Apple认识到安全越来越重要,所以就引入SSL-Pinning技术:开发者预先把证书相关信息预置到App中再打包,这样在https通讯过程中App本地可以与服务器返回的证书可以做对比,如果发现不一致,那么可能就是由于中间人攻击(比如Fiddler/Charles抓包工具),App客户端可以终止https链接。

而在新版本的系统规则中,应用只信任系统默认预置的CA证书,如果是第三方安装的证书(比如Fiddler安装的)则不会信任:

图片

解决方案

上面的都是一些理论方面的内容,到底该如何突破SSL Pinning机制能够抓到App的https请求包呢?

方案一:使用Android7.0以下的系统

目前已验证在Android 7.0或以上的系统有启用了对第三方证书的限制。但是在Android 7.0以下还是依旧可以将Fiddler/Charles的证书安装在用户的CA集中抓取https请求。

方案二:将Fiddler/Chales证书安装到系统默认预置的CA证书区域中

此种办法前提是需要root权限,但是现在很多新款手机获取root权限困难,所以此办法并不推荐。

方案三:反编译APK,修改AndroidManifest.xml文件

  • 有些APK加了壳,需要先进行脱壳处理

  • 再通过apktool等工具进行反编译

  • 在源码的res/xml目录添加network_security_config.xml文件,内容如下:

修改AndroidManifest.xml文件,在application标签中增加:

android:networkSecurityConfig="@xml/network_security_config"

 此种方案比较适用于对反编译比较熟练的童靴

方案四:VitualXposed框架+JustTrustMe模块(推荐)

VitualXposed介绍:

Use Xposed with a simple APP, without needing to root, unlock the bootloader, or flash a system image

官网下载地址:https://vxposed.com/
简单来说,VitualXposed可以在不需要设备root的情况下,修改App的行为。此应用的工作原理类似于应用分身功能,会将应用安装到一个虚拟独立的环境当中,其内部会自带一个已经激活了的Xposed工具。

JustTrustMe介绍:

An xposed module that disables SSL certificate checking for the purposes of auditing an app with cert pinning

JustTrustMe是Github上面的一个开源项目,是xposed中的一个模块,用于禁止SSL证书验证。

官方链接:https://github.com/Fuzion24/JustTrustMe

操作流程:

  • 将VitualXposed安装到真机中,点击应用按钮->添加应用,将要调试的App、JustTrustMe.apk进行安装

  • 打开Xposed,选择左上角导航栏->模块,勾选JustTrustMe

  • 重启VitualXposed应用,打开贝壳找房,通过Fiddler抓包,可以看到App请求正常,https请求能抓到

 

测试小鬼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博客
一文带你彻底搞懂 Python 编程进阶之闭包
02-25 1050
在Python中,函数名存放的其实就是函数所在的内存地址,通过函数名()的方式本质上就是执行函数所在内存地址中的代码。的功能,装饰器的本质其实就是闭包,所以在理解了闭包的基础上才能理解装饰器的原理,关于装饰器的使用可以关注后续的文章。在函数嵌套的情况下,内部的函数使用外部函数中的变量,并且外部函数返回了内部函数,我们将这个内部函数称之为闭包。的情况下,内部的函数使用外部函数中的变量,并且外部函数返回了内部函数,我们将这个内部函数称之为闭包。:通过闭包可以创建一系列相似的函数,每个函数有不同的初始状态。
博客
腾讯大佬, 职场经验分享!
02-23 894
我当时经过测算,很不幸,网盘类产品现在在中国天花板很低,而我们的品牌定位在跟竞争对手的定位没法做出足够的差异化,因此只能身陷价格竞争的泥沼和产品创新的陷阱(很多创新都不是用户需求)。所以我想找到一个天花板足够高的市场,找出没有被挖掘出来的用户价值,制定足够清晰的定位和策略,加入或打造一个还可以的团队,制造出一个或多个MPF(Market Product Fit,市场-产品匹配)的产品,做出足够快速而可用的执行,来增加这个市场的价值。事实上我们连在自己战场的发生的突袭都看不到,看不到拼多多,看不到抖音快手。
博客
APP 有漏洞被测要下架,怎么处理?
02-21 609
收集个人信息类型:收集个人信息类型:设备所在位置相关信息(GPS 位置、WLAN 接入点、蓝牙、WI-FI 信息、GNSS、基站以及其他传感器信息),设备信息(IMEI、IDFA、Android ID、MEID、MAC 地址、OAID、使用目的:收集您的位置信息,访问网络用于获取地图服务,使用存储权限用于保存地图缓存,应用于与位置相关的业务场景,如:向您展示所在位置周边的库存商品信息,便于您选择收货地址,向您展示配送信息。、MAC 地址、OAID、IMSI、硬件序列号、操作系统版本信息),IP 地址。
博客
SQL注入工具之SQLmap入门操作
02-19 1229
level=LEVEL //水平1-5,也不是数字越高越精准,但也不是越高越好。越高数据包发送量就越大,被发现的可能也就越大。如果怕把甲方业务搞挂了,也不要开的太大。--risk=RISK //风险1-3,也不是数字越高越精准,但也不是越高越好。越高数据包发送量就越大,被发现的可能也就越大。虽然没有官方的图形化界面,但是市面上有很多个人做的图形化插件,如果实在不熟悉命令行可以考虑换成图形化插件进行使用。:可以从官方网站(https://sqlmap.org/)下载最新版本的SQLmap。
博客
全网超全的测试类型详解,再也不怕面试答不出来了!
02-18 631
对应用软件的安全性进行测试,比如登录账号的防护,连接的安全性,扫描系统存在的一些漏洞和安全隐患,这个就需要测试人员对产品有充分的了解,也需要具备丰富的基础知识体系和各种工具、代码的使用能力。这个测试概念来自于硬件测试,电路板的测试人员为了验证一个电路板是否好用,就先给电路板通电,如果一通电就电路板就冒烟了,说明电路板被烧坏了,那么后续详细的测试就不需要就不需要再做了,直接打回给开发重新做一个新的就好了。如果说刚刚第一阶段做的单元测试是针对单个单元进行的测试,那么集成测试就是进行了简单的拼接之后的测试。
博客
单元测试之Stub和Mock
01-16 1231
然后判断MockEmailService中的SendEmail方法有没有被调用. 被调用了说明发送了Email(我们不需要真的收到一封邮件,因为SendEmail功能是IEmailService实现的,)我们在测试的代码中新建StubWebService和MockEmailService.这两个class分别实现了IWebService和IEmailService.第二: 我们无法判断,Email对象是否发送了Email, (我们不能去Outlook查看收到邮件没有,这样就不是自动化了)
博客
Postman接口测试之断言,全网最细教程没有之一!
01-14 1192
在中我们是在Tests标签中编写断言,同时右侧封装了常用的断言,当然 Tests 除了可以作为断言,还可以当做后置处理器来编写一些后置处理代码,经常应用于:【1】获取当前接口的响应,传递给下一个接口【2】控制多个接口间的执行顺序。
博客
摊牌了,这才是真实的字节跳动程序员工作!
01-12 413
博客
2024最详细的接口测试用例设计教程
01-11 904
1、需求讨论2、需求评审3、场景设计4、数据准备5、测试执行。
博客
用Python发送通知到企业微信,实现消息推送
01-10 900
Hi,大家好,今天就介绍如何实现自动推送消息到,适合告警类型通知,非常方便。
博客
轻松掌握 Java Faker ,学点真本事,做点“假”数据~
01-07 423
【已更新】B站讲的最详细的Python接口自动化测试实战教程全集(实战最新版)共计200条视频,包括:1、接口自动化之为什么要做接口自动化、2、接口自动化之request全局观、3、接口自动化之接口实战等,UP主更多精彩视频,请关注UP账号。【已更新】B站讲的最详细的Python接口自动化测试实战教程全集(实战最新版)_哔哩哔哩_bilibili。今天罗杰老师教你一招,让你做出逼真的“假”数据。工作中难免遇到需要造点“假”数据的情况,而且数据必须是“真”的,演示效果要好看一些。
博客
离职报告提交前一秒,再检查下这些测试思维面试题你都会了么?
01-04 948
先进行冒烟测试,正常创建坐席(坐席组编号自动生成且确认 6 位数字唯一,名称输入 10 个汉字,类型选 A,抵押坐席组复选框全选,选择第一个现场经理-名下第一个团队长-第一个坐席),点击确认。聊天的其他功能:@符号,撤回功能,加好友功能,消息重发,发红包,转账,发送位置信息、发送名片、群聊等功能。正常网络下,发送纯文字,图片,文件,表情,语音、视频,文字 + 表情消息,发送及接收功能是否正常。正常网络下,语音聊天、视频聊天相互转换功能是否正常,发送语音聊天、视频聊天时,是否有声音提示。
博客
靠着这份年终总结,我涨薪8K,成为领导眼中最闪亮的星~
01-03 874
【已更新】B站讲的最详细的Python接口自动化测试实战教程全集(实战最新版)共计200条视频,包括:1、接口自动化之为什么要做接口自动化、2、接口自动化之request全局观、3、接口自动化之接口实战等,UP主更多精彩视频,请关注UP账号。如果你目前是一个中级或者高级以上的自动化测试、测试开发工程师,你的年终报告将跟初中的测试工程师还是有所区别的。:在保证项目测试质量的基础上,保证了测试人员的技术的持续提升,提高了整个团队的测试能力,更持续化的提高了测试效率和保证项目的测试质量。:项目测试效率需加强。
博客
日常测试工作中哪些是必须知道的 SQL 语句?
01-02 1083
字段的常用约束有:PRIMARY KEY、FOREIGN KEY、NOT NULL、UNIQUE、AUTO_INCREMENT、DEFAULT。常用的语句有:SELECT,查询操作在 SQL 中使用非常多,还有一些复杂的如排序、多表查询、分组等处理。常用的语句有:SET AUTOCOMMIT、ROLLBACK、COMMIT、SAVEPOINT 等。在日常的测试工作中,并不会都使用,掌握常用的基础语句即可,慢慢再扩展一些组合查询等复杂查询语句。标准的 SQL 将针对数据进行操作的语句进行了分类,包括。
博客
python 异步任务框架 Celery 入门,速看!
12-28 1034
celery 会把执行命令发送到 broker,broker 再将消息发送给 worker 服务来执行,如果一切正常你将会在 worker 服务的日志中看到接收任务和执行任务的日志。我们编写的任务可能会存在于可重用的应用程序中,而可重用的应用程序不能依赖与项目本身,因此无法直接导入 celery 应用实例。请注意,此示例项目布局适用于较大的项目,对于简单的项目,可以使用包含定义应用程序和任务的单个模块。要在你的 django 项目中使用 celery,首先需要定义一个 Celery 的实例。
博客
在小公司 “混” 了2年,我只认真做了5件事,如今顺利拿到字节 Offer
12-26 932
外行对于程序员的认知很单一,也有很多刻板印象,但不管如何,作为测试人员的我们,自己一定要正视自己。如果我们连自嘲和自卑都分不清楚了,那发展也就仅限如此了。所以,尽早规划自己,朝目标发展,才是上策之道,而不是怨天尤人,等到 30 岁后再去焦虑。在企业你如果不想成为“工具人”,就不要停下成长的步伐,打造属于自己的独特价值,具备不可替代的稀缺属性,这样才能不被淘汰,也能够在遭遇变化时,随自己所愿进行选择。t=N7T8。
博客
年底找工作的宝子们,千万不要错过这些数据库笔试题!
12-25 970
很多同学会趁着年底尝试找找工作,因为年底的岗位招聘一般来说都是急招,应聘的竞争者少,且薪资不低。特别是工作年限4年以下的宝子,面试前一般会先笔试,如果不想自己笔试受挫,那么以下给大家分享的这一波面试碰到的数据库笔试题,一定要牢牢码住!并多多练习!
博客
数据迁移测试经验分享
12-24 1176
除了考虑新系统的规则变化,还要考虑旧数据迁移后需要进行规则适配,例如旧系统没有,新系统有的字段,验证是否给到正确的默认值。保证旧系统数据迁移后业务的可用性与连续性,避免迁移后需重新回滚测试。接下来,我们将详细介绍数据迁移的测试策略及测试实施,话不多说,上干货~
博客
Fiddler抓包,怎么抓抓得好抓得快?
12-22 907
Fiddler 很智能,当用户打开 Fiddler 就已经设置好浏览器的代理了,代理地址 127.0.0.1 端口 8888。Fiddler大揭秘:从入门到精通的HTTP抓包实战(学完别乱搞,小心牢狱之灾)共计8条视频,包括:1、fiddler和F12抓包对比、2、Fiddler工作原理、3、配置证书抓取https包等,UP主更多精彩视频,请关注UP账号。Fiddler 有一个抓包开关,File –> Capture Traffic,开启后左下角显示,也可以直接点击左下角图标来关闭/开启抓包功能。
博客
互联网公司为什么不开除测试,让大众来找bug,一个100块钱?
12-21 930
当天腾讯视频推出了“9 折开通腾讯视频 VIP”的活动,也就是原本 20 元的会员便宜了 2 块钱,不少用户惊喜地发现,支付的时候变成了 0.2 元。但还是有手速快的用户,最多的据说充了一千年,估计是要当传家宝了,那半个多小时,腾讯预估综合损失了5700万。如果黑客发现了有价值的bug,他不上报给你,等你产品上线了,再利用bug谋取巨大的利益,那么企业和软件平台、平台用户谁能承受这样的巨大损失?要知道你所谓的大众中,可是会包含“黑客”这样的顶级高手的,系统价值越高,越能吸引这种人来。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值