解决Fiddler在抓取https数据包时Tunnel to 443的问题的方法

最新推荐文章于 2024-04-12 10:58:22 发布
最新推荐文章于 2024-04-12 10:58:22 发布
阅读量1.3w 收藏 2
点赞数
分类专栏: 问题解析 文章标签: https android java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29737307/article/details/109366184
版权

首先要排除的设置fiddler的问题,可以参考下面的教程去设置fiddler

https://www.cnblogs.com/111testing/p/6436226.html

若是已经排除上面的问题,手机上提示错误信息:java.security.cert.CertPathValidatorException: Trust anchor for certification path not found。而在fiddler提示:A SSLv3-compatible ClientHello handshake was found. Fiddler extracted the parameters below,host提示Tunnel to 443,那么这时候就应该是抓包的时候接口缺少SSL的双向验证,我们这时app就需要使用bks证书校验服务端证书,具体实现的方案如下:

1、下面的工具类包含了https的验证和授权验证的方法,直接复制创建即可

public class HttpsUtils {

    public static class SSLParams {
        public SSLSocketFactory sSLSocketFactory;
        public X509TrustManager trustManager;
    }

    public static SSLParams getSslSocketFactory() {
        return getSslSocketFactoryBase(null, null, null);
    }

    /**
     * https单向认证
     * 可以额外配置信任服务端的证书策略,否则默认是按CA证书去验证的,若不是CA可信任的证书,则无法通过验证
     */
    public static SSLParams getSslSocketFactory(X509TrustManager trustManager) {
        return getSslSocketFactoryBase(trustManager, null, null);
    }

    /**
     * https单向认证
     * 用含有服务端公钥的证书校验服务端证书
     */
    public static SSLParams getSslSocketFactory(InputStream... certificates) {
        return getSslSocketFactoryBase(null, null, null, certificates);
    }

    /**
     * https双向认证
     * bksFile 和 password -> 客户端使用bks证书校验服务端证书
     * certificates -> 用含有服务端公钥的证书校验服务端证书
     */
    public static SSLParams getSslSocketFactory(InputStream bksFile, String password, InputStream... certificates) {
        return getSslSocketFactoryBase(null, bksFile, password, certificates);
    }

    /**
     * https双向认证
     * bksFile 和 password -> 客户端使用bks证书校验服务端证书
     * X509TrustManager -> 如果需要自己校验,那么可以自己实现相关校验,如果不需要自己校验,那么传null即可
     */
    public static SSLParams getSslSocketFactory(InputStream bksFile, String password, X509TrustManager trustManager) {
        return getSslSocketFactoryBase(trustManager, bksFile, password);
    }

    private static SSLParams getSslSocketFactoryBase(X509TrustManager trustManager, InputStream bksFile, String password, InputStream... certificates) {
        SSLParams sslParams = new SSLParams();
        try {
            KeyManager[] keyManagers = prepareKeyManager(bksFile, password);
            TrustManager[] trustManagers = prepareTrustManager(certificates);
            X509TrustManager manager;
            if (trustManager != null) {
                //优先使用用户自定义的TrustManager
                manager = trustManager;
            } else if (trustManagers != null) {
                //然后使用默认的TrustManager
                manager = chooseTrustManager(trustManagers);
            } else {
                //否则使用不安全的TrustManager
                manager = UnSafeTrustManager;
            }
            // 创建TLS类型的SSLContext对象, that uses our TrustManager
            SSLContext sslContext = SSLContext.getInstance("TLS");
            // 用上面得到的trustManagers初始化SSLContext,这样sslContext就会信任keyStore中的证书
            // 第一个参数是授权的密钥管理器,用来授权验证,比如授权自签名的证书验证。第二个是被授权的证书管理器,用来验证服务器端的证书
            sslContext.init(keyManagers, new TrustManager[]{manager}, null);
            // 通过sslContext获取SSLSocketFactory对象
            sslParams.sSLSocketFactory = sslContext.getSocketFactory();
            sslParams.trustManager = manager;
            return sslParams;
        } catch (NoSuchAlgorithmException e) {
            throw new AssertionError(e);
        } catch (KeyManagementException e) {
            throw new AssertionError(e);
        }
    }

    private static KeyManager[] prepareKeyManager(InputStream bksFile, String password) {
        try {
            if (bksFile == null || password == null) return null;
            KeyStore clientKeyStore = KeyStore.getInstance("BKS");
            clientKeyStore.load(bksFile, password.toCharArray());
            KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
            kmf.init(clientKeyStore, password.toCharArray());
            return kmf.getKeyManagers();
        } catch (Exception e) {
            OkLogger.printStackTrace(e);
        }
        return null;
    }

    private static TrustManager[] prepareTrustManager(InputStream... certificates) {
        if (certificates == null || certificates.length <= 0) return null;
        try {
            CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
            // 创建一个默认类型的KeyStore,存储我们信任的证书
            KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
            keyStore.load(null);
            int index = 0;
            for (InputStream certStream : certificates) {
                String certificateAlias = Integer.toString(index++);
                // 证书工厂根据证书文件的流生成证书 cert
                Certificate cert = certificateFactory.generateCertificate(certStream);
                // 将 cert 作为可信证书放入到keyStore中
                keyStore.setCertificateEntry(certificateAlias, cert);
                try {
                    if (certStream != null) certStream.close();
                } catch (IOException e) {
                    OkLogger.printStackTrace(e);
                }
            }
            //我们创建一个默认类型的TrustManagerFactory
            TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            //用我们之前的keyStore实例初始化TrustManagerFactory,这样tmf就会信任keyStore中的证书
            tmf.init(keyStore);
            //通过tmf获取TrustManager数组,TrustManager也会信任keyStore中的证书
            return tmf.getTrustManagers();
        } catch (Exception e) {
            OkLogger.printStackTrace(e);
        }
        return null;
    }

    private static X509TrustManager chooseTrustManager(TrustManager[] trustManagers) {
        for (TrustManager trustManager : trustManagers) {
            if (trustManager instanceof X509TrustManager) {
                return (X509TrustManager) trustManager;
            }
        }
        return null;
    }

    /**
     * 为了解决客户端不信任服务器数字证书的问题,网络上大部分的解决方案都是让客户端不对证书做任何检查,
     * 这是一种有很大安全漏洞的办法
     */
    public static X509TrustManager UnSafeTrustManager = new X509TrustManager() {
        @Override
        public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        }

        @Override
        public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        }

        @Override
        public X509Certificate[] getAcceptedIssuers() {
            return new java.security.cert.X509Certificate[]{};
        }
    };

    /**
     * 此类是用于主机名验证的基接口。 在握手期间,如果 URL 的主机名和服务器的标识主机名不匹配,
     * 则验证机制可以回调此接口的实现程序来确定是否应该允许此连接。策略可以是基于证书的或依赖于其他验证方案。
     * 当验证 URL 主机名使用的默认规则失败时使用这些回调。如果主机名是可接受的,则返回 true
     */
    public static HostnameVerifier UnSafeHostnameVerifier = new HostnameVerifier() {
        @Override
        public boolean verify(String hostname, SSLSession session) {
            return true;
        }
    };
}

2、一般我们网路请求都是使用okhttp或者底层基于okhttp的框架来请求网络,直接设置OkHttpClient相应sslSocketFactory和trustMananger,类似代码如下

 OkHttpClient.Builder builder = new OkHttpClient.Builder();

                    builder.addInterceptor(new HeaderInterceptor())
                            .addInterceptor(new ParamsIntercepter());
                    HttpsUtils.SSLParams sslParams1 = HttpsUtils.getSslSocketFactory();
                    if (debug) {
                        LoggingInterceptor interceptor =   new LoggingInterceptor.Builder()
                                .setLevel(Level.BODY)
                                .build();
                        builder.addInterceptor(interceptor);

                    }
                    mClient = builder
                            .connectTimeout(30, TimeUnit.SECONDS)
                            .readTimeout(30, TimeUnit.SECONDS)
                     .sslSocketFactory(sslParams1.sSLSocketFactory,sslParams1.trustManager)
                            .build();

然后就可以快乐的抓包了

轩雨抚痕
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
解决跨域和https不能访问的问题
冰恋云的专栏
04-13 117
本地安装了项目,是一键安装的,安装之后还是apache的web服务器,有个视频服务用的是https的服务,要对这个项目进行二次开发,本地调用没问题,可是别人已调用就跨域。只能本地访问。现在有两个问题:1.解决跨域问题2.还要解决https访问的问题解决思路,用nginx 的ssl证书解决https问题,并反向代理解决跨域问题
Fiddler抓取https解决方法
05-23
解决fiddler无法抓取https问题,经测试有用,如有问题请留言
Fiddler如何抓取手机APP数据包
09-21
Fiddler,这个是所有软件开发者必备神器!这款工具不仅可以抓取PC上开发web候的数据包,而且可以抓取移动端,通过本文给大家介绍Fiddler如何抓取手机APP数据包,感兴趣的朋友一起学习吧
fiddler模拟器抓包A SSLv3-compatible ClientHello handshake was found
m0_60149877的博客
03-19 229
手机-》设置-》通用-》关于手机,滑动最下边,点击"证书信任设置",针对证书启用完全信任,打开对应证书。ios手机已安装证书,抓包依然不成功,解决方案。
fiddler抓包,http请求的host参数值为“Tunnel to”的原因及解决办法
yisumi的博客
02-19 746
fiddler抓包https请求中有一些http请求,且这些http请求的host参数值是:Tunnel to。fiddler做代理转发https请求,就会产生:CONNECT Tunnels,可以不管它。
Fiddler抓取https数据包如何解决Tunnel to 443问题,微信小程序打不开无法抓包的问题和无法抓取https包的问题数据包上锁的问题
HAIDIDECHUAN的博客
10-13 2793
参考。
iPhone使用Fiddler抓包的坑
weixin_43959807的博客
08-24 1995
环境: 1、iPhone6s-ios13.4.1 2、Macbookpro16-macos Big Sur 11.5.2 参照其他教程完成了设置,如下图: 接着让iPhone和Macbook处在同一网络中,在iPhone浏览器打开“主机地址:端口号”(例如192. 168.50.110:8888),点击FiddlerRootcertificate下载证书。 接着在设置-通用-描述文件中安装证书。 这候开始抓包,结果在Fiddler显示“A SSLv3-compatible ClientHello h
Https双向认证+加密狗配置教程
01-06
Https双向认证+ET199加密狗配置usb硬件证书认证,如果有其他问题 下载过文档的同学肯定一帮到底!
SANGFOR深信服远程办公客户端EasyConnect在Windows11使用兼容性问题解决案例
热门推荐
耐酸碱高温固化材料近距离传输研究
06-03 1万+
怀疑是两端tls协议不兼容导致问题,于是将ie11中tls 1.2支持关闭,仅保留1.0和1.1。但从网页输入账号还是无法打开easyconnector客户端,另外在fiddler中抓包发现除浏览器外还有ecagent进程发起的https请求报以上错误。近日在使用深信服远程办公客户端EasyConnect发现,很多装有Windows11的计算机在开启EasyConnect连接服务器初始化一直不成功,使用其他浏览器打开服务器网页正常。发现ie11访问服务器网页报错,显示站点连接不安全。
网络之HTTP协议
giturtle's blog
07-11 655
http协议URL HTTP是典型的应用层协议,是目前最流行的通信协议,没有之一。其衍生出了封装SSL协议的“安全版”:HTTPS协议,相对于传统的HTTP协议更为安全,但也是“相对的安全”。 只要保证通信传输一端发送构造的数据, 在另一端能够正确的进行解析, 就是可以的,这种约定就是 应用层协议。这其中也涉及序列化与反序列化。 虽然应用层协议是程序猿自定制的的。但实际上, 已经有大佬们定义了...
fiddler https 抓包
男儿当自强
07-26 1万+
原理 fiddler抓包原理 fiddler 调试器注册到操作系统因特网服务中,系统所有的网络请求都会走fiddler的代理,所以fiddler才能抓包。 Debug traffic from any client and browser  Fiddler helps you debug traffic from any browser: Internet Explorer
移动设备http、https数据包抓取Fiddler篇).pdf
03-29
在app的安全分析过程中,我们需要检测app的网络接口是否包含有web安全漏洞、或者常见逻辑漏洞等。因此需要捕获app的http、https数据包,从而进行分析。这篇文章主要介绍使用Fiddler捕获app的http、https数据包进行分析。并且介绍有我们需要分析国外相关app的接口,如何与科学上网设置相结合,捕获国外相关app的http、https数据包
解决Fiddler在win7系统下的安全证书问题
10-17
今天小编就为大家分享一篇关于解决Fiddler在win7系统下的安全证书问题,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
matrixssl-3-3-1-open.tar.gz_matrixssl_matrixssl 3-1_matrixssl-3-
09-24
MatrixSSL 是针对小型应用程序和设备设计的嵌入式、开放源码SSLv3协议栈(商业版支持TLS协议)。
Fiddler Https抓取工具
03-19
配合旧版iTunes获取ios历史版本软件
Android开发如何防止被Fiddler抓取HTTP/HTTPS数据包
01-03
 但是HTTP/HTTPS请求很容易被别人使用一些像Fiddler等抓包工具抓取信息,对数据进行分析 很容易得到请求方式、请求接口地址、请求参数、消息头部信息、请求类型等信息,以及请求响应 返回的数据信息;   获取到...
fiddler抓取https请求 数据乱码问题解决方案
04-27
NULL 博文链接:https://st4024589553.iteye.com/blog/2378674
最齐全,最简单的免费SSL证书获取方法——实现HTTPS访问
最新发布
JoySSL230907的博客
04-12 773
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。优势:大平台,每年证书签发量全国前三,提供的免费证书种类齐全,有免费的单域名,多域名,通配符(泛域名)等各种免费证书。缺点:跟阿里的差不多提供的数量有限,并且也开始调整只提供90天的免费证书,不提供通配符以及多域名的免费证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。缺点:之前被吊销过免费证书,导致用户申请的证书失效,不够稳定。
fiddler tunnel to 443 问题
06-28
### 回答1: Fiddler是一款用于抓包和分析网络流量的工具。如果您想要在Fiddler中使用HTTPS协议进行抓包分析,则需要对Fiddler进行一些配置,使其能够与目标网站建立加密连接。 其中一个常见的问题Fiddler无法通过隧道连接到443端口。这通常是由于系统代理设置的问题导致的。要解决这个问题,您可以尝试以下方法: 1. 在Fiddler中打开“Tools”菜单,选择“Options”,然后选择“Connections”选项卡。在该选项卡中,取消选中“Act as system proxy on startup”复选框。 2. 禁用或修改系统代理设置。在Windows操作系统中,您可以在“Internet选项”中找到代理设置,然后将其禁用或将代理地址和端口修改为与Fiddler相同的地址和端口。 3. 如果您使用的是HTTPS代理,请确保您已经安装了Fiddler的根证书。在Fiddler中,可以通过打开“Tools”菜单,选择“Options”,然后选择“HTTPS”选项卡来找到根证书的安装方法。 希望这些方法可以帮助您解决Fiddler隧道连接443端口的问题。 ### 回答2: 文本中提到“fiddler tunnel to 443 问题”,该问题是指在使用Fiddler抓包,需要将端口号修改为443才能正常捕获HTTPS请求的问题。这个问题是由于HTTPS请求使用加密传输,而Fiddler默认只能捕获HTTP请求,因此需要通过修改端口号的方式来实现HTTPS请求的抓包。 首先,需要在Fiddler的“Tools”菜单下选择“Fiddler Options”,进入设置页面。在“HTTPS”选项卡下,勾选“Decrypt HTTPS traffic”选项,并点击“Export Root Certificate to Desktop”按钮,将证书导出到桌面以便之后的安装。 接着,需要将证书安装到本地信任证书库中。在Windows系统中,可以通过双击证书文件并按照提示操作来实现。安装成功后,需要重启Fiddler,并在“Tools”菜单下选择“Options”菜单中的“HTTPS”选项卡,勾选“Capture HTTPS CONNECTs”选项。 最后,需要在Fiddler的“Rules”菜单下选择“Customize Rules”,并添加以下代码: static function OnBeforeRequest(oSession: Session) { if (oSession.isHTTPS && oSession.uriContains("yourdomain.com")) { oSession["x-overrideHost"] = "yourdomain.com:443"; } } 这段代码的作用是将指定的域名的端口号改为443,以便Fiddler能够正常捕获HTTPS请求。在添加完上述代码后,保存并重启Fiddler即可。 总之,“fiddler tunnel to 443 问题”可以通过上述方法解决,从而实现对HTTPS请求的抓包。同需要注意的是,由于HTTPS请求使用加密传输,因此在抓包需要遵循相关法规和道德规范,切勿用于非法用途。 ### 回答3: Fiddler是一款广泛使用的抓包工具,可以用于监视HTTP请求和响应。有候,我们需要在Fiddler上捕获加密的HTTPS流量,这就需要使用Fiddlertunneling(隧道)功能。 默认情况下,在Fiddler上不能直接抓取HTTPS流量。Fiddler使用的是自己生成的根证书来代理HTTPS流量,但大多数浏览器都不信任这个根证书,因此浏览器会提示安全警告。为了解决这个问题Fiddler提供了一个tunneling(隧道)功能,用于将HTTPS流量通过HTTPS隧道转发到Fiddler中,从而避免了浏览器检测证书的问题。 在Fiddler中,打开Tools->Options,选择HTTPS选项卡,勾选"Decrypt HTTPS traffic"和"Ignore server certificate errors"选项,然后单击"Actions"按钮,选择"Export root certificate to desktop",将证书保存到桌面。接下来,需要将该根证书导入到操作系统的受信任根证书颁发机构中,以便浏览器可以信任它。然后,重启Fiddler,选择"Rules"选项卡,打开Customize rules文件,在OnBeforeRequest函数中添加以下代码: if (oSession.HTTPMethodIs("CONNECT") && oSession.HostnameIs("localhost:443")) { oSession["x-replywithtunnel"] = "FakeTunnel"; return; } 保存并重新加载Customize rules文件,Fiddler就可以开始抓取HTTPS流量了。 总之,使用Fiddlertunneling(隧道)功能,可以轻松捕获HTTPS流量,从而帮助我们分析和调试网站的安全性及性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值