使用普通的抓包工具,如Tcpdump,无法抓取到加密过的HTTPS的数据包。但是用经过配置的Charles,可以抓取并分析HTTPS的数据包,下面的内容将会具体讲述如何配置Charles以及如何用Charles抓取HTTP和HTTPS数据包。
Charles配置过程
1)配置代理:用Charles可以抓取移动端App上的数据,这时需要计算机和移动端App在同一网段(或同一WiFi)。在Charles界面上依次选择“Proxy”→“proxy Settings”项,在打开的界面上填入代理端口8888,并勾选“Enable transparent HTTP proxying”项。
2)获取证书:用浏览器访问“chls.pro/ssl”并下载证书,在 Charles界面上依次选择“Proxy”→“SSL Proxying Settings”→“SSL Proxying”,在弹出的界面点击“Add”按钮,并在Location项下填写“ * ”,同时选择“Enable SSL Proxying” 复选框。然后点击“OK”按钮,如图6-17所示。
3)为浏览器安装证书:点击点在好的证书,安装浏览器证书。
4)证书信任配置:Mac系统的配置:在Mac系统的右上角点击“搜索”文本框,在搜索框中填写“钥匙串访问”关键词,点击后会自动弹出设置界面,如图6-18所示,然后依次双击“Charles Proxy 证书” 项,在弹出的界面上点击“信任”项,选择“始终信任”,具体设置如图6-19所示。
Windows系统的设置:启动谷歌浏览器,点击浏览器上的“设置”项,然后搜索“管理证书”,在弹出的界面上依次点击“受信任的根证书颁发机构”→“导入”项(见图6-20和图6-21),完成证书信任配置。
5)移动端App配置证书:用移动端浏览器访问chls.pro/ssl并下载证书,如图6-22所示。
注:由于Android7.0以上版本新增了系统证书验证功能,所以,需要修改应用包的相应配置(证书信任相关的配置),这样用Charles才能成功抓取到HTTP/HTTPS的请求数据包。
4906
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
