抓包https请求网络异常/无数据怎么破？歪歪老师来帮你！

测试界的飘柔

于 2023-10-07 15:11:03 发布

阅读量1k

点赞数

分类专栏：职场经验软件测试程序员文章标签：网络 https 网络协议功能测试自动化测试软件测试程序人生

本文链接：https://blog.csdn.net/m0_67695717/article/details/133637854

版权

软件测试同时被 3 个专栏收录

2528 篇文章 95 订阅

订阅专栏

职场经验

2299 篇文章 32 订阅

订阅专栏

程序员

1210 篇文章 7 订阅

订阅专栏

在这里插入图片描述

当你测试App的时候，想要通过Fiddler/Charles等工具抓包看下https请求的数据情况，发现大部分的App都提示网络异常/无数据等等信息。

以“贝壳找房”为例：

Fiddler中看到的请求是这样的：

你可能开始找证书的问题：是不是Fiddler/Charles的证书没有导入的手机中去？配置一遍又一遍，又开始对比web端浏览器的https发现没问题。这时候你可能已经开始怀疑人生了。

那么究竟是不是证书的问题？

没错，就是证书的问题，但跟你想象中的证书有点不同，不是Fiddler内置证书的问题，而是App内置证书的问题 – SSL Pinning机制。

什么是SSL Pinning?

首先，在https的建立连接过程中，当客户端向服务端发送了连接请求后，服务器会发送自己的证书(包括公钥、证书有效期、服务器信息等)给客户端，如果客户端是浏览器，则使用内置的CA证书去校验服务器证书是否一致。

那么为什么Fiddler能够抓的到浏览器的https请求呢？原因就是在于用户可以自由的将第三方的证书导入到浏览器内置的CA证书集中。

明白上述一点之后，我们再回到App客户端，App默认是信任系统（Android or IOS）用户第三方安装的的CA证书集的，有一些App能够通过Fiddler抓到包的原因是因为：我们可以在系统的用户CA证书集中添加Fiddler的证书。这样App就能信任证书是安全的，放心的发送请求了。

但是现在随着系统的更新，Google or Apple认识到安全越来越重要，所以就引入SSL-Pinning技术：开发者预先把证书相关信息预置到App中再打包，这样在https通讯过程中App本地可以与服务器返回的证书可以做对比，如果发现不一致，那么可能就是由于中间人攻击（比如Fiddler/Charles抓包工具），App客户端可以终止https链接。

而在新版本的系统规则中，应用只信任系统默认预置的CA证书，如果是第三方安装的证书（比如Fiddler安装的）则不会信任：