Fiddler在抓取https数据包时如何解决Tunnel to 443的问题?如何对使用了ssl pinning的APP(如知乎)进行抓包?(亲测有效)

最新推荐文章于 2024-04-14 22:53:29 发布
最新推荐文章于 2024-04-14 22:53:29 发布
阅读量5.6k 收藏 13
点赞数 4
分类专栏: fiddler Xposed
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiaonizuoren/article/details/97911337
版权

使用fiddler对app抓包,部分app上不了网!手机已经安装fiddlerroot证书,并且fiddler会报以下错误:

为什么https的网站使用伪证书可以抓到,而在app里面同样的方法就抓不到?

答案是:app启用了SSL Pinning(又叫“ssl证书绑定“)。

解决办法:使用Xposed + JustTruestMe来突破SSL Pinning!

步骤:1.在安装了xposed框架的安卓机获取模拟器上,安装并启用JustTruestMe模块,如图:

2.然后再用正常的fiddler抓包的步骤进行转取即可!!!

参考资料:https://bbs.pediy.com/thread-226435.htmhttps://www.zhihu.com/question/60618756

胶泥座人
关注
  • 4
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
android 数据请求加密,通过 Android keystore 和 fingerprint 结合实现数据加密和解密
weixin_42518090的博客
05-30 634
本文目标是通过结合 Android Keystore 和 Fingerprint 来安全的对数据进行加密,并且能够通过指纹身份验证之后对数据进行解密。了解 KeystoreAndroid Keystore 系统可以在一个安全的容器中(如:借助于系统芯片中提供的可信执行环境 TEE)存储加密密钥,在我们的加密密钥进入 Keystore 之后,可以在不用导出密钥的前提下完成加密操作,Keystore ...
Fiddler如何抓取手机APP数据包
09-21
Fiddler,这个是所有软件开发者必备神器!这款工具不仅可以抓取PC上开发web候的数据包,而且可以抓取移动端,通过本文给大家介绍Fiddler如何抓取手机APP数据包,感兴趣的朋友一起学习吧
Android进阶-HTTPS通信原理-非对称加密
Donkey的博客
05-02 1095
对称加密 简介:对称加密算法又称传统加密算法,加密和解密使用同一个密钥。 加密解密过程:明文->密钥加密->密文,密文->密钥解密->明文。 缺点:对称加密算法是不现实的,互联网中通信的双方大多是临建立的连接,不可能提前协商好密钥,而且密钥也要进行传输,无法保证密钥本身的安全性。 非对称加密 简介: 非对称加密(asymmetric cryptography),也称为公开密钥加密(Public-key cryptography),是密码学的一种算法,它需要两个密钥,一个
SSL Pinning之双向认证
最新发布
TF的博客
04-14 1167
本篇只介绍怎么解决ssl pinning, 不讲ssl/tls 原理。
Android-各大平台数据反加密
ccx
11-23 825
友盟: 数据返回 base64+前后旋转 百度: 数据返回 base64 其他直播类平台 涉及到不到的,一般是取某一帧的候,文件出错导致没有请求了. 还有就是 AES.我自己加密我自己...
无感的几种实现方式,除了ssl pinningapp无法检
碎片的博客
03-11 1851
对抗学习笔记
fiddler抓取不到python-request的?InsecureRequestWarning: Unverified HTTPS request is being made to host ‘
12-23
问题一:在使用python-requests做接口请求fiddler抓取不到request请求? 解决方式:在request.get()\requet.post()里面加参数:verify=False;目的是:移除SSL认证;此fiddler就可以抓取到python-requets ...
移动设备http、https数据包抓取Fiddler篇).pdf
03-29
app的安全分析过程中,我们...这篇文章主要介绍使用Fiddler捕获app的http、https数据包进行分析。并且介绍有我们需要分析国外相关app的接口,如何与科学上网设置相结合,捕获国外相关app的http、https数据包
Android开发如何防止被Fiddler抓取HTTP/HTTPS数据包
01-03
 但是HTTP/HTTPS请求很容易被别人使用一些像Fiddler工具抓取信息,对数据进行分析 很容易得到请求方式、请求接口地址、请求参数、消息头部信息、请求类型等信息,以及请求响应 返回的数据信息;   获取到...
Fiddler+Proxifier实现exe功能工具
04-28
Fiddler+Proxifier实现exe功能工具 Fiddler只能浏览器请求,配合Proxifier可以同通过exe调用的请求 压缩中同括了配置使用说明
Xposed框架以及JustTrusetMe安装
11-20
xposed的安装,注意安装的手机需要root,安装以后选择需要加载的模块,重启手机即可。可绕过sslping验证
某电商App 返回数据加密解密分析(四)
fenfei331的博客
12-29 2631
一、目标 最近在某电商App候发现一个加密数据,它在做通讯地址请求的候,请求数据做了加密。返回数据中的地址信息也是密文。 今天我们的目标就是这个数据的加密解密。 App版本: v10.3.0 二、步骤 分析一下 1、数据的结尾是"==",说明是Base64编码,那么我们可以尝试去Hook Base64相关函数,然后打印堆栈。 2、返回数据格式是 json,那么我们可以尝试去Hook json相关的解析函数。 3、还一个方法就是尝试去搜索 CityName 、CountryName 和 Where
安卓高版本抓取https加密的方法一
任雪飘的博客
03-04 564
我们做项目的过程中经常要抓取https 的流量抓取不到数据,那是因为我们没有装证书,但是下面我们将的是安装了证书还是不到数据包,怎么办? 我们的安卓版本高于7.1,安卓是不走应用层数据了,此我们应该要安装系统证书,不然FD不为我们服务,接下来我带领大家解决一下这个问题! 首先我们要去下个openssl 签名工具 ...
Android HTTPS
fabbychips的专栏
07-20 3774
网络请求是研发过程中常见问题,无论是开发的接口调试,还是的数据检验,都有网络的需求。随着HTTPS协议的推广以及手机系统安全性的升级,的门槛可能会逐渐变高;在这篇文章里,我将带你从原理到实战全面认识HTTPS,既理解HTTPS背后的实现原理,又掌握市面上已有的方案。对于一些方案中存在的坑点我也一一列举并给出解决方法。Fiddler目前主要是用在Window系统上的网络调试工具这里总结一下使用Charles进行的主要步骤,其实就是按照第2节。...
手机安装证书
RSalike的博客
11-13 940
4. 设置 > 安全 > 更多安全设置 > 加密与凭证 > 从存储设备中安装 >选择手机空间后搜“charles”>然后选择下载好的charles-proxy-ssl-proxying-certificate.crt安装即可。安装成功后,工具Charles即可对该手机上的进行。安装成功后,网页版工具whistle即可对该手机上的进行。3.设置 > 安全 > 更多安全设置 > 加密与凭证 > 从存储设备中安装 >1.Charles其他配置准备好的情况下,如图依次点开。
一文搞懂Android
WangYilei0318的博客
02-19 7885
带你了解Android App
fiddler对android的app
tanqiaoxing的博客
09-01 311
Fiddlerapp进行 1、下载安装 https://www.telerik.com/download/fiddler 2、设置fiddler       3、获取主机ip地址 cmd ipconfig 得到IPv4地址 4、设置android模拟器的代理 Settings—>wifi单击—>WiredSSID鼠标左键长按—>modify n
https请求网络异常/无数据怎么破?歪歪老师来帮你!
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
10-07 1084
当你App候,想要通过Fiddler/Charles等工具看下https请求的数据情况,发现大部分的App都提示网络异常/无数据等等信息。
[免费专栏] Android安全之绕过SSL PinningHTTPS数据
橙留香Park的博客
08-08 6788
转移发布平台通:将不再在CSDN博客发布新文章,敬请移步识星球
fiddler tunnel to 443 问题
06-28
### 回答1: Fiddler是一款用于和分析网络流量的工具。如果您想要在Fiddler使用HTTPS协议进行分析,则需要对Fiddler进行一些配置,使其能够与目标网站建立加密连接。 其中一个常见的问题Fiddler无法通过隧道连接到443端口。这通常是由于系统代理设置的问题导致的。要解决这个问题,您可以尝试以下方法: 1. 在Fiddler中打开“Tools”菜单,选择“Options”,然后选择“Connections”选项卡。在该选项卡中,取消选中“Act as system proxy on startup”复选框。 2. 禁用或修改系统代理设置。在Windows操作系统中,您可以在“Internet选项”中找到代理设置,然后将其禁用或将代理地址和端口修改为与Fiddler相同的地址和端口。 3. 如果您使用的是HTTPS代理,请确保您已经安装了Fiddler的根证书。在Fiddler中,可以通过打开“Tools”菜单,选择“Options”,然后选择“HTTPS”选项卡来找到根证书的安装方法。 希望这些方法可以帮助您解决Fiddler隧道连接443端口的问题。 ### 回答2: 文本中提到“fiddler tunnel to 443 问题”,该问题是指在使用Fiddler,需要将端口号修改为443才能正常捕获HTTPS请求的问题。这个问题是由于HTTPS请求使用加密传输,而Fiddler默认只能捕获HTTP请求,因此需要通过修改端口号的方式来实现HTTPS请求的。 首先,需要在Fiddler的“Tools”菜单下选择“Fiddler Options”,进入设置页面。在“HTTPS”选项卡下,勾选“Decrypt HTTPS traffic”选项,并点击“Export Root Certificate to Desktop”按钮,将证书导出到桌面以便之后的安装。 接着,需要将证书安装到本地信任证书库中。在Windows系统中,可以通过双击证书文件并按照提示操作来实现。安装成功后,需要重启Fiddler,并在“Tools”菜单下选择“Options”菜单中的“HTTPS”选项卡,勾选“Capture HTTPS CONNECTs”选项。 最后,需要在Fiddler的“Rules”菜单下选择“Customize Rules”,并添加以下代码: static function OnBeforeRequest(oSession: Session) { if (oSession.isHTTPS && oSession.uriContains("yourdomain.com")) { oSession["x-overrideHost"] = "yourdomain.com:443"; } } 这段代码的作用是将指定的域名的端口号改为443,以便Fiddler能够正常捕获HTTPS请求。在添加完上述代码后,保存并重启Fiddler即可。 总之,“fiddler tunnel to 443 问题”可以通过上述方法解决,从而实现对HTTPS请求的。同需要注意的是,由于HTTPS请求使用加密传输,因此在需要遵循相关法规和道德规范,切勿用于非法用途。 ### 回答3: Fiddler是一款广泛使用工具,可以用于监视HTTP请求和响应。有候,我们需要在Fiddler上捕获加密的HTTPS流量,这就需要使用Fiddlertunneling(隧道)功能。 默认情况下,在Fiddler上不能直接抓取HTTPS流量。Fiddler使用的是自己生成的根证书来代理HTTPS流量,但大多数浏览器都不信任这个根证书,因此浏览器会提示安全警告。为了解决这个问题Fiddler提供了一个tunneling(隧道)功能,用于将HTTPS流量通过HTTPS隧道转发到Fiddler中,从而避免了浏览器检证书的问题。 在Fiddler中,打开Tools->Options,选择HTTPS选项卡,勾选"Decrypt HTTPS traffic"和"Ignore server certificate errors"选项,然后单击"Actions"按钮,选择"Export root certificate to desktop",将证书保存到桌面。接下来,需要将该根证书导入到操作系统的受信任根证书颁发机构中,以便浏览器可以信任它。然后,重启Fiddler,选择"Rules"选项卡,打开Customize rules文件,在OnBeforeRequest函数中添加以下代码: if (oSession.HTTPMethodIs("CONNECT") && oSession.HostnameIs("localhost:443")) { oSession["x-replywithtunnel"] = "FakeTunnel"; return; } 保存并重新加载Customize rules文件,Fiddler就可以开始抓取HTTPS流量了。 总之,使用Fiddlertunneling(隧道)功能,可以轻松捕获HTTPS流量,从而帮助我们分析和调试网站的安全性及性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值