关于面向Android7.0及以上系统的应用无法通过charles抓包

最新推荐文章于 2024-08-03 06:35:50 发布
最新推荐文章于 2024-08-03 06:35:50 发布
阅读量6.5k 收藏 2
点赞数
分类专栏: Android 文章标签: android Charles 证书 https okhttp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joye123/article/details/81347671
版权
本文介绍了Android 7.0及以上版本应用因安全策略导致无法通过Charles抓包的问题,并提供了两种解决方案:1) 使用network_security_config.xml自定义网络安全设置,适用于调试环境;2) 为网络请求库如OkHttp添加证书配置,实现动态控制。同时,文章讨论了这些方法在团队协作和线上环境中的适用性。
摘要由CSDN通过智能技术生成

关于面向Android7.0及以上系统的应用无法通过charles抓包

默认情况下,来自所有应用的安全连接(使用TLS和HTTPS之类的协议)均信任预装的系统CA,而面向6.0及以下系统版本的应用默认情况下还会信任用户添加的CA证书。如果我们将targetSdkVersion修改到24以上的时候,应用则不会信任用户安装的证书了。

详细说明见官方文档

这时,当我们通过charles或其他抓包工具抓取应用的Https请求时,尽管在手机上暗安装了charles证书,则仍会显示证书链不被信任。

我们有两种解决方案,适用不同的场景。

在manifest文件中配置application的属性android:networkSecurityConfig=”@xml/network_security_config”

通过network_security_config.xml文件可以自定义网络安全设置,包括如下功能:

  • 自定义信任的证书机构:适用于自签名证书或限制应用信任系统预装证书
  • 证书固定:将应用的安全连接限制为特定的证书,适用于代理抓包、线下环境调试
  • 明文通信选择退出:防止应用意外使用明文通信
  • 仅调试重写:在debug状态设置上述限制

详细的配置可参考官方文档

那么我们为了使我们的应用信任charles的证书,可以选择证书固定或者直接信任用户安装的证书。配置如下:

固定证书:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">example.com</<
最低0.47元/天 解锁文章
joye123
关注
专栏目录
安卓模拟器7.0以上的抓包方法
KHOST的博客
01-05 9446
抓包前准备: 模拟器:雷电模拟器4.0 Android7.1内核版本 Proxifier、代理抓包工具(burpsuite、Fiddler)均可 通常情况下需要在模拟器中修改wifi代理其实我觉得这种是比较麻烦的、何必不只要我运行了burpsuite和Proxifier之后就可以抓模拟器包,不需要修改其内部配置呢。并且某些app也会检测代理情况,如果修改了或开启了代理app就无法正常运行,我们通过在模拟器外部进行抓包来绕过app检测。 开始配置: 首先运行burpsuite监听默认80..
关于安卓7.0以上无法抓到https协议包的问题
smartexam的博客
08-26 3909
1.软件抓包环境部署 用的抓包软件是fiddler,首先部署好抓包环境,https选项里面设置fiddler信任证书,然后导出fiddlerRoot.cer证书安装到电脑浏览器上 2.手机必须root 每个品牌型号的手机方法各有不同,及时百度(稳定版系统小米手机root用到的工具有ADB命令,Magisk面具,小米社区下载的对应手机型号的开发版系统zip,解压zip复制出boot.img映像文件,用面具将boot.img映像文件修补完成得到一个新的映像文件,将新的映像文件在电脑端用ADB刷入手机系..
andorid 高版本无法抓包
qq_33285313的博客
07-13 686
配置文件:res/xml/network_security_config.xml <network-security-config> <base-config cleartextTrafficPermitted="true"> <trust-anchors> <certificates src="system" overridePins="true" /> <certifi.
Android7+ charles抓包
qq_18453581的博客
12-09 199
解决Android7.0以上设备无法抓包,需要root,使用所有app
android 7.0以上charles https抓包
热门推荐
nobody
04-23 1万+
由于Android7.0之后新版本系统的安全限制,证书必须安装到系统证书目录下:/system/etc/security/cacerts, 之前的安装的证书的步骤可能会抓包产生下图问题: Android7.0 之后默认不信任用户添加到系统的CA证书,按之前的步骤即使你在手机上安装了抓包工具的证书无法抓取 https 请求,但是苹果系统目前还是可以安装的。 操作步骤: 1、系统首...
Android7.0及以上https抓包
weixin_37496178的博客
03-16 310
理论上无论多少版本的Android系统,只要能将Charles证书设置为系统证书就能正确抓取https下面是我个人的实现步骤。
Android7.0 以上Charles抓取HTTPS包解决方法
weixin_45697761的博客
04-20 682
Android7.0 以上Charles抓取HTTPS包解决方法 经过俺多天的努力,终于找到了Charles抓取HTTPS接口的解决方法 下载VritualXposed apk包安装到android手机 链接:https://pan.baidu.com/s/1reFsjoHdXETHp6zo78Deow 提取码:suns 下载JustTrustMe apk包安装到android手机 链接:https://pan.baidu.com/s/1reFsjoHdXETHp6zo78Deow 提取码:suns 安装完
Android日常(07)测试 使用Charles进行https证书接口测试 遇到的问题
ZPCrobot的博客
08-02 658
Android日常(07)测试 使用Charles进行https证书接口测试 遇到的问题写在前面的话软件版本和配置问题出现的场景处理方式参考链接结束语 写在前面的话 今天测试小姐姐找到我,说之前开发的一个app,在做生产环境下,https接口抓包测试的时候,遇到了一些问题。这里展示一下异常信息 1.Client SSL handshake failed: An unknown issue occ...
Android面试从新手到架构师,一篇解析就够(2),rocketmq原理面试
m0_60607609的博客
09-07 464
============================================== volatile 关键字 只能用来修饰变量,适用修饰可能被多线程同时访问的变量 相当于轻量级的 synchronized,volatitle 能保证有序性(禁用指令重排序)、可见性 变量位于主内存中,每个线程还有自己的工作内存,变量在自己线程的工作内存中有份拷贝,线程直接操作的是这个拷贝 被 volatile 修饰的变量改变后会立即同步到主内存,保持变量的可见性 双重检查单例,为什么要加 vio
Android面试从新手到架构师,一篇解析就够(1),跳槽字节跳动
m0_60607609的博客
09-07 285
5.抽象工厂模式: 结构型(7):描述如何将类或对象按某种规则组成更大的结构 1.桥接模式:对于两个或以上纬度独立变化的场景,将抽象与具体实现分离,实例:用不同颜色画不同形状 2.外观模式:对外有一个统一接口,外部不用关心内部子系统的具体实现,这是"迪米特原则"的典型应用 3.适配器模式:改变类的接口,使原本由于接口不匹配而无法一起工作的两个类能够在一工作,实例:RecycleView 的 Adapter 不管什么类型的 View 都返回 ViewHolder 4.代理模式:由代理对..
(五)移动端测试
最新发布
jylee的博客
08-03 733
正确回答通过率:62.0%[ 详情 ] 推荐指数: ★★★★ 试题难度: 中级一、功能性功能性测试之安装:· 安装过程中是否可以取消· 软件安装后是否可以正常运行· 安装空间不足时是否有相应提示· 软件安装过程中意外情况(如死机,重启,断电)的处理是否符合需求· 安装后没有生成多余的目录结构和文件· 在必要的权限未选择后是否可以安装且后续可设置· 重复安装是否自动更新为当前安装版本功能性测试之卸载:· 是否可以通过桌面卸载或通过软件安装包卸载。
安卓7.0以上抓包方法
杭州无名测试
09-23 2326
作为测试,抓包定位前后端问题这是必须要做的,但是很多小伙伴,在app验证证书的时候,或者正式包的时候,就抓不了了。或者说在安卓高版本的时候就抓不了包了。
[Android日常]android版本大于7,使用Charles抓包问题
weixin_44511736的博客
07-24 933
Charles 安卓抓包问题
Android7及以上,抓https包-Fiddler篇
weixin_49859373的博客
04-16 8991
背景: Android7.0开始系统不在信任用户CA证书(应用targetSdkVersion >=24是生效,如果targetSdkVersion < 24 即使系统7.0+依然会信任)也就是说即使安装了用户CA证书,在Android 7.0+的机器上,targetSdkVersion >=24的应用HTTS包就抓不到了。 比如上面的例子,抓包工具用内置的CA证书,创建了www.baidu.com域名的公钥证书发给Client,系统校验此证书......
Fiddler web抓包、app抓包android7.0以上抓包详细教程
qq_50909707的博客
05-31 2740
fiddler抓取app接口方法_w_t_y_y的博客-CSDN博客_手机app接口抓取
如何解决 Android7.0之后部分手机无法抓包
muranfei的博客
04-10 2540
最近,测试提出来这么一个问题,说公司android7.0以上的手机针对https请求没办法抓包,他们拿不到数据。很是尴尬。 好了进入正题,通过一波的查阅资料过后发现:android7.0+的版本新增了证书验证,https的安全证书手机端和电脑端都必须安装,这个是前提;又由于android手机多厂商系统定制的问题,可能有部分手机确实无法抓包,这里, 对于抓包的问题上,我们在给测试打包的时候要对我们的...
Android 7.0以上版本 HTTPS 抓包解决方法
农村打工仔的博客
01-24 7897
HTTP 协议发展至今,已经有二十多年的历史,整个发展的趋势主要是两个方向:效率 & 安全。 效率方面,从 HTTP1.0 的一次请求一个连接,到 HTTP1.1 的连接复用,到 SPDY/HTTP2 的多路复用,到 QUIC/HTTP3 的基于 UDP 传输,在效率方面越来越高效。 安全方面,从 HTTP 的明文,到 HTTP2 强制使用 TLSv1.2,到 QUIC/HTTP3 强制使用 TLSv1.3,越来越注重数据传输的安全性。 总而言之,HTTP 协议的发展对,用户是友好的,但是对开
charles安卓7.0以上抓包
04-20
以下是在安卓7.0以上版本上使用Charles进行抓包的步骤[^1]: 1. 在Windows上安装Charles:首先,您需要在Windows上安装Charles。您可以从Charles官方网站下载并安装Charles。 2. 配置CharlesHTTPS抓包功能:在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值