Android 7.0以上 无法抓取Https包解决办法

最新推荐文章于 2024-06-23 03:07:44 发布
最新推荐文章于 2024-06-23 03:07:44 发布
阅读量1.2k 收藏
点赞数
文章标签: android java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/paihuai_00/article/details/104385475
版权
Android 7.0及以上版本由于安全策略改变导致无法抓取HTTPS请求包。分析发现原因是系统不再信任用户添加的CA证书。解决方法包括将targetSdkVersion设置为23,创建network_security_config.xml文件,并在清单文件中配置该文件,以恢复到Android 6.0的默认配置。此外,还提供了仅在debug模式下允许抓包的配置方案。
摘要由CSDN通过智能技术生成

Android 官网:网络安全配置

近期升级了targetSdkVersion到28,发现无法抓取到https请求包,查看了一下,Google修改安全策略了

#####默认配置

  • Android6.0 (API 级别 23)及更低版本应用的默认配置如下所示:
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" />
            <certificates src="user" />
        </trust-anchors>
    </base-config>
  • **Android 7.0(API 级别 24)**到 **Android 8.1(API 级别 27)**的应用的默认配置如下所示:
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" />
        </trust-anchors>
    </base-config>
最低0.47元/天 解锁文章
paihuai_00
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于安卓7.0以上无法抓到https协议的问题
smartexam的博客
08-26 3903
1.软件抓环境部署 用的抓软件是fiddler,首先部署好抓环境,https选项里面设置fiddler信任证书,然后导出fiddlerRoot.cer证书安装到电脑浏览器上 2.手机必须root 每个品牌型号的手机方法各有不同,及时百度(稳定版系统小米手机root用到的工具有ADB命令,Magisk面具,小米社区下载的对应手机型号的开发版系统zip,解压zip复制出boot.img映像文件,用面具将boot.img映像文件修补完成得到一个新的映像文件,将新的映像文件在电脑端用ADB刷入手机系..
Android 14 抓HTTPS
superwx1985的博客
03-22 2880
Android7.0 开始,系统不再信任用户 CA 证书(应用 targetSdkVersion >= 24 时生效,如果 targetSdkVersion = 24 的应用的 HTTPS 就抓不到了。
Android开发如何防止被Fiddler抓取HTTP/HTTPS数据
01-03
Android开发过程中需要网络访问获取数据,一般都是通过HTTP/HTTPS请求服务器获取数据;      但是HTTP/HTTPS请求很容易被别人使用一些像Fiddler等抓工具抓取信息,对数据进行分析 很容易得到请求方式、请求接口地址、请求参数、消息头部信息、请求类型等信息,以及请求响应 返回的数据信息;            获取到这些信息后,一方面可以分析数据得到想要的数据,如获取视频网站中的视频路径等, 另一方面可以模拟各种请求不断发送到服务器,这样可以不停的从服务器获取数据,还可能造成服 务器负载过大;      有童鞋可能说我可以对数据进行加密,这样即使抓取到数据也无法识别;
Android平台HTTPS解决方案及问题分析
最新发布
2401_85730312的博客
06-23 1641
HTTP协议发展至今已经有二十多年的历史,整个发展的趋势主要是两个方向:效率和安全。效率方面,从HTTP1.0的一次请求一个连接,到HTTP1.1的连接复用,到SPDY/HTTP2的多路复用,到QUIC/HTTP3的基于UDP传输,在效率方面越来越高效。安全方面,从HTTP的明文,到HTTP2强制使用TLSv1.2,到QUIC/HTTP3强制使用TLSv1.3,越来越注重数据传输的安全性。总而言之,HTTP协议的发展对用户是友好的,但是对开发者而言却不那么友善。
android sdk抓 https,Android 7.0 以上 Charles 和 Fiddler 无法抓取 HTTPS 的解决方式
weixin_30114595的博客
05-27 441
最近升级了 targetSdkVersion 到 28 后发现在 Android 7.0 以上机型 Charles 抓取 https 时显示找不到证书,但是 Android 6.0 机型还是可以正常抓。原因是因为从 Android 7.0 开始,默认的网络安全性配置修改了,具体请阅读官方文档网络安全性配置。问题原因Android 6.0(API 23)及更低版本应用的默认网络安全性配置如下:1...
Android高级架构师:Android平台HTTPS解决方案及问题分析
2401_84122016的博客
04-17 737
如果开发者具有真正服务端的公钥证书和私钥,(比如百度的公钥证书和私钥百度的后端开发肯定有),如果真有的话,可以将其导入HttpCanary中,也可以完成正常抓。比如上面的例子,抓工具用内置的CA证书,创建了www.baidu.com域名的公钥证书发给Client,系统校验此证书时发现是用户CA证书签发的,sorry。那么,我们如果绕过这种限制呢?在SSL/TLS握手过程中,Server端会向Client端请求证书,Client端必须将内置的公钥证书发给Server,Server验证公钥证书的真实性。
Android平台HTTPS解决方案及问题分析Android高级
m0_63102527的博客
03-12 338
1,请编程实现单例模式,懒汉和饱汉写法2,请编程实现Java的生产者-消费者模型3,HashMap的内部结构?内部原理?4,请简述Android事件传递机制, ACTION_CANCEL事件何时触发?5,Android的进程间通信,Liunx操作系统的进程间通信。6,JVM虚拟机内存结构,以及它们的作用。这个问题也比较基础,JVM的内存结构如下图所示。7,简述Android的View绘制流程,Android的wrap_content是如何计算的。
被阿里面试官征服了,,Android平台HTTPS解决方案及问题分析
VIP129370的博客
03-10 673
找到一套好的视频资料,紧跟大牛梳理好的知识框架进行学习。多练。(视频优势是互动感强,容易集中注意力)你不需要是天才,也不需要具备强悍的天赋,只要做到这两点,短期内成功的概率是非常高的。对于很多初中级Android工程师而言,想要提升技能,往往是自己摸索成长,不成体系的学习效果低效漫长且无助。
Android7.0 以上Charles抓取HTTPS解决方法
weixin_45697761的博客
04-20 677
Android7.0 以上Charles抓取HTTPS解决方法 经过俺多天的努力,终于找到了Charles抓取HTTPS接口的解决方法 下载VritualXposed apk安装到android手机 链接:https://pan.baidu.com/s/1reFsjoHdXETHp6zo78Deow 提取码:suns 下载JustTrustMe apk安装到android手机 链接:https://pan.baidu.com/s/1reFsjoHdXETHp6zo78Deow 提取码:suns 安装完
Android 7.0以上的系统如何抓取HTTPS
简言
10-16 1556
Android 7.0 以上的操作系统,大部分机型,如红米note、华为荣耀等按照老的方法设置了代理之后,依然无法,并且部分手机比如小米上安装Charles证书会报错,这是因为Android系统做了安全限制,那么需要怎么解决呢? 先解决Android系统的安全限制 不解决的话Charles会报错:Client SSL handshake failed: An unknown issu...
http(S)系列之(四):Fiddler手机客户端抓以及android7.0以上手机无法抓取https解决办法
foshengtang的博客
10-27 2821
骚聊: 这段时间发现心慌慌,自我分析了一下:1.每篇文章都是带着《学习的目的+个人实践+个人理解》编写的,越深入越爽那是夜话,技术是越深入越细心谨慎然后越爽,学习不可操之过急,并且必须坚持不懈;2.时间,感觉自己在追逐时间,有的时候在偷点懒。努力到感动自己,拼搏到无能为力不是我的初衷,我也非常讨厌这句话,我的设想是照顾家庭之外的时间坚持不懈完成自己的理想,但是有的时候偷了懒,所以心里不爽利。 前言 http(s)涉及安全的目的肯定是防信息泄漏,防信息篡改并被冒充,本篇文章主要针对http以及https分开讨
Android 学习记录】:针对Android 7.0 抓不到HTTPS的情况
卦星的专栏
03-08 5219
学习记录:针对Android 7.0 抓不到HTTPS的情况 学习记录:针对Android 7.0 抓不到HTTPS的情况 背景 环境: 抓方案 背景 前段时间需要抓,目前做https强证书校验的越来越多,手机升级之后,导致很多时候抓不到,因此,总结一下抓方法,这里基本没有自己研究的内容,都是从其他的博客搬过来汇总的 环境: 1,一台root的手机 ...
使用Fiddler抓HTTP/HTTPSAndroid7.0以后https失败问题
翛然树的博客
10-20 2451
抓不到,很可能目标APP使用了其它HTTP Client,比如自带一个libcurl的so,那样最终调用的是系统的Socket API,WLAN上设置的HTTP/HTTPS代{过}{滤}理对它无效,但其实这种情况很少,市面上绝大多数的应用,都是使用URLConnection和OkHttp,尤其是近些年的应用,几乎都是清一色的OkHttp,所以绝大多数情况下都能抓到,如果抓不到,很可能是应用自己进行了额外的SSL证书校验工作,根据情况再特殊分析特殊处理。中的思路在Android上的实践。
Android平台HTTPS全方案
CHAMPION8888的博客
11-26 1007
前言 HTTP协议发展至今已经有二十多年的历史,整个发展的趋势主要是两个方向:效率和安全。效率方面,从HTTP1.0的一次请求一个连接,到HTTP1.1的连接复用,到SPDY/HTTP2的多路复用,到QUIC/HTTP3的基于UDP传输,在效率方面越来越高效。安全方面,从HTTP的明文,到HTTP2强制使用TLSv1.2,到QUIC/HTTP3强制使用TLSv1.3,越来越注重数据传输的安全性。总而言之,HTTP协议的发展对用户是友好的,但是对开发者而言却不那么友善。 抓是每个程序员的必修技能之一,.
Android Studio高版本安卓模拟器抓取https
gitxuzan
05-09 478
【代码】Android Studio高版本安卓模拟器抓取https
解决安卓7.0以后https抓不到的问题
ssrf
08-25 2265
1、把代理证书放到系统证书根目录下 安卓7.0以后,安卓不信任用户安装的证书,所以抓https无法解码请求,对于第三方应用,需要将证书添加为系统证书,使用安卓手机添加证书。 需如下: root手机 安装openssl 1、burp到导出证书 2、计算导出证书的hash值 openssl x509 -inform DER -subject_hash_old -in C:\Users\s\Desktop\burp.cer 3、生成系统预设格式证书文件 openssl x509 -inform D
android版本7.0以上无法抓取https
hnnd123的博客
05-09 2712
由于android7.0+版本新增了证书验证,如果不增加配置默认是无法抓取https请求的。 解决方案: 在app清单文件的下增加:android:networkSecurityConfig="@xml/network_security_config" 来指定一个网络配置文件。 内容: <network-security-config> <base-config cl...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值