App 抓包提示网络异常怎么破?

最新推荐文章于 2025-03-20 22:42:47 发布
最新推荐文章于 2025-03-20 22:42:47 发布
阅读量1.6k 收藏 9
点赞数 1
分类专栏: 测试开发 自动化测试 软件测试 文章标签: 服务器 自动化测试 测试开发 软件测试 职场和发展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73332379/article/details/129953942
版权

背景

当你测试App的时候,想要通过Fiddler/Charles等工具抓包看下https请求的数据情况,发现大部分的App都提示网络异常/无数据等等信息。以“贝壳找房”为例:

 Fiddler中看到的请求是这样的:

 

你可能开始找证书的问题:是不是Fiddler/Charles的证书没有导入的手机中去?配置一遍又一遍,又开始对比web端浏览器的https发现没问题。这时候你可能已经开始怀疑人生了。

那么究竟是不是证书的问题?

没错,就是证书的问题,但跟你想象中的证书有点不同,不是Fiddler内置证书的问题,而是App内置证书的问题 -- SSL Pinning机制

 什么是SSL Pinning?
首先,在https的建立连接过程中,当客户端向服务端发送了连接请求后,服务器会发送自己的证书(包括公钥、证书有效期、服务器信息等)给客户端,如果客户端是浏览器,则使用内置的CA证书去校验服务器证书是否一致。

那么为什么Fiddler能够抓的到浏览器的https请求呢?原因就是在于用户可以自由的将第三方的证书导入到浏览器内置的CA证书集中。

  明白上述一点之后,我们再回到App客户端,App默认是信任系统(Android or IOS)用户第三方安装的的CA证书集的,有一些App能够通过Fiddler抓到包的原因是因为:我们可以在系统的用户CA证书集中添加Fiddler的证书。这样App就能信任证书是安全的,放心的发送请求了。

但是现在随着系统的更新,Google or Apple认识到安全越来越重要,所以就引入SSL-Pinning技术:开发者预先把证书相关信息预置到App中再打包,这样在https通讯过程中App本地可以与服务器返回的证书可以做对比,如果发现不一致,那么可能就是由于中间人攻击(比如Fiddler/Charles抓包工具),App客户端可以终止https链接。

而在新版本的系统规则中,应用只信任系统默认预置的CA证书,如果是第三方安装的证书(比如Fiddler安装的)则不会信任:

 

解决方案
 上面的都是一些理论方面的内容,到底该如何突破SSL Pinning机制能够抓到App的https请求包呢?

方案一:使用Android7.0以下的系统

目前已验证在Android 7.0或以上的系统有启用了对第三方证书的限制。但是在Android 7.0以下还是依旧可以将Fiddler/Charles的证书安装在用户的CA集中抓取https请求。

方案二:将Fiddler/Chales证书安装到系统默认预置的CA证书区域中

此种办法前提是需要root权限,但是现在很多新款手机获取root权限困难,所以此办法并不推荐。

方案三:反编译APK,修改AndroidManifest.xml文件

有些APK加了壳,需要先进行脱壳处理

再通过apktool等工具进行反编译

在源码的res/xml目录添加network_security_config.xml文件,内容如下:

修改AndroidManifest.xml文件,在application标签中增加:

android:networkSecurityConfig="@xml/network_security_config"

此种方案比较适用于对反编译比较熟练的童靴

方案四:VitualXposed框架+JustTrustMe模块(推荐)

VitualXposed介绍:

 Use Xposed with a simple APP, without needing to root, unlock the bootloader, or flash a system image

 官网下载地址:https://vxposed.com/

简单来说,VitualXposed可以在不需要设备root的情况下,修改App的行为。此应用的工作原理类似于应用分身功能,会将应用安装到一个虚拟独立的环境当中,其内部会自带一个已经激活了的Xposed工具。

JustTrustMe介绍:
An xposed module that disables SSL certificate checking for the purposes of auditing an app with cert pinning

 JustTrustMe是Github上面的一个开源项目,是xposed中的一个模块,用于禁止SSL证书验证。

官方链接:https://github.com/Fuzion24/JustTrustMe

操作流程:

将VitualXposed安装到真机中,点击应用按钮->添加应用,将要调试的App、JustTrustMe.apk进行安装

  • 打开Xposed,选择左上角导航栏->模块,勾选JustTrustMe
  • 重启VitualXposed应用,打开贝壳找房,通过Fiddler抓包,可以看到App请求正常,https请求能抓到  

 

 

【资源分享】

下面这份资源,对于想学习【软件测试】的朋友来说应该是最全面最完整的备战仓库,希望也能帮助到你!

 

 

 

App 抓包提示网络异常怎么?】
朱雀随云记的博客
10-27 615
首先,在https的建立连接过程中,当浏览器向服务端发送了连接请求后,服务器会发送自己的证书(包括证书有效期、颁发机构等)给浏览器,浏览器首先在本地根证书区域寻找是否有这个服务器证书的CA机构的根证书。如果有继续则下一步会进行验证服务器端的证书,如果没有弹出警告。验证通过后经过一系列服务器和客户端的信息交换,双方最终建立了通讯。
APP抓包篇】IOS应用抓包防护绕过实战教程
吴秋霖的博客
01-08 8005
IOS应用抓包防护绕过实战教程
网站与APP抓包分析1 基础原理与工具使用
p.deng²⁰⁵ᐟ₅₁₂
10-24 2539
简介: 基于网络协议与相关工具对网站与APP应用数据交互流程进行分析。 关键词:TCP、HTTP、HTTPS、HTTPDNS、Chrome、tshark、Charles、fidder、VirtalXposed 关键词:TCP、HTTP、HTTPS、HTTPDNS、Chrome、tshark、Charles、fidder、VirtalXposed 1、常用通信协议基础 1.1、TCP/IP协议族简介 TCP/IP是一个协议族的统称,里面包括了TCP(传输控制协议)和IP(网际协议/因特网互联协议)等一.
青龙面板-美团红包
m0_66043650的博客
10-12 1万+
青龙面板-美团红包
美团 web 最新 mtgsig1.2
最新发布
ff2766958292的博客
03-20 772
美团、mt、mtgsig、美团web端
美团、点评app抓包及参数分析
qian123shuai的博客
07-11 1万+
只说下思路吧,毕竟把加密代码公开对人家网站不好。如有权益问题请私信我,我立即删除。 美团系列app目前抓不到关键包,如商品列表、商品详情、评论等,是因为这些api走的是美团自己的长链通道,具体可参考美团技术团队发表的一篇文章https://tech.meituan.com/2017/03/17/shark-sdk.html ...
使用Charles抓包就用不了网,怎么解决?
m0_55877024的博客
06-17 2558
2,因为我是要使用APP进行抓包,所以使用的第二种办法。在Charles中,打开Proxy-> 在打开 Proxy Settings 把Enable transparent HTTP proxying 打开。1、如果你不用APP抓包,关闭Proxy -> macOS Proxy即可(如果是Android 应该就是Android Proxy),就可以上网了。使用Charles抓包就用不了网,怎么解决?
使用Fiddler进行抓包
朱豪凯的博客
12-16 1878
Fiddler是一个抓包工具,可以使用它在PC端创建代理,然后进行抓包。 首先,我们下载Fiddler 打开软件后,点击工具>选项>连接>勾选 运行远程计算机连接 然后,打开CMD,输入ipconfig,找到本机的IP地址 示例中是192.168.1.108 然后打开Android设备的Wifi设置,找到你要连接的网络,长按选择修改网络,勾选显示高级选项,开启代理,输入服务器...
最新美团网数据抓取实战。
python
01-24 2414
写在前面的话,还处于爬虫初期,很多东西一知半解,边学边记录,边学边做。代码写的自己都看不下去了。。。。 本期重点,美团网商铺数据,暂只抓了美食商家数据。先上战果,暂只抓了10万条,一小时左右,未对数据去重。大概思路如下,先抓取各个省份城市,然后获取其经纬度,最后构造参数,翻页拿取数据。抓取结果 获取各个城市名字,id。第一个地址(https://www.meituan.com/ptapi/get...
M团外卖waimai_sign、mtgsig参数学习分析记录⊙ω⊙
qq_44628911的博客
06-15 9448
某团外卖参数学习
在职美团测试工程师的这八年,我是如何成长的,愿技术人看完都有收获
weixin_56502375的博客
06-23 647
时间回到8年前,我人生中的第一份实习工作,是在美团做一个自动化测试工程师。当时的我可谓意气风发,想要大干一场,结果第一次做测试就出现了事故。
ComicRead:一款漫画阅读APP,独立开发,数据来源于腾讯动漫网,通过爬虫抓包获取
05-17
ComicRead 一款漫画阅读APP,独立开发,数据来源于腾讯动漫网,通过爬虫抓包获取 功能实现 使用Jsoup框架解析爬取腾讯动漫网漫画数据,实现漫画分类,热门漫画,漫画查询,看漫画等功能。 作品截图
App 抓包问题与解决
LI4836的博客
02-23 3931
Python 抓包问题解决
charles抓包:部分页面app提示网络连接解决:charles+虚拟机
qq_45564088的博客
12-13 4879
charles抓包:部分页面app提示网络连接解决:charles+虚拟机
抓包神器Charles使用说明,2024年字节跳动+京东+美团面试总结
芯_v_648374雨馨博客
03-18 1233
写到这里也结束了,在文章最后放上一个小小的福利,以下为小编自己在学习过程中整理出的一个学习思路及方向,从事互联网开发,最主要的是要学好技术,而学习技术是一条慢长而艰苦的道路,不能靠一时激情,也不是熬几天几夜就能学好的,必须养成平时努力学习的习惯,更加需要准确的学习方向达到有效的学习效果。由于内容较多就只放上一个大概的大纲,需要更及详细的学习思维导图的点击这里>Android IOC架构设计免费获取。
探索美团爬虫项目:智能数据抓取的新篇章
gitblog_00092的博客
04-21 1771
探索美团爬虫项目:智能数据抓取的新篇章 去发现同类优质开源项目:https://gitcode.com/ 项目简介 在大数据时代,信息的获取速度和质量往往是竞争优势的关键。 是一个开源的Python项目,旨在自动化地从美团网站抓取各类商品、服务信息,帮助研究人员、数据分析爱好者或营销人员获取实时的市场数据。 技术分析 该项目基于强大的Web抓取框架Scrapy构建,Scrapy是一个由Python...
青龙面板篇——美团(细致教程 有手就行~)
热门推荐
金闪闪呀
06-11 3万+
6.11更新下 青龙面板——美团教程 (比较详细的拉库和抓包教程)
抓包
qq_34763130的博客
05-19 663
windows就直接下载wireshark mac或者linux 可以安装tcpdump 安装命令如下yum install tcpdump 前置条件需要安装yum 安装完后 tcpdump -help 有相关的帮助介绍 简单的介绍一下常用的指令 tcpdump -i eth0 -w /home/tcpdump.pcap net 192.168.70 抓本级eth0所有交互的包 并写入/home/tcpdump.pcap文件内 抓 192.168.70网段下的所有包(这个条件为过滤条件
keep运动抓包无响应
02-19
### Keep运动应用抓包无响应解决方案 对于Keep运动应用抓包过程中遇到的无响应问题,可以考虑以下几个方面来排查并解决问题。 #### 1. 配置设备网络设置 确保用于测试的移动设备和电脑连接在同一Wi-Fi网络下。这是因为大多数情况下,抓包工具依赖于同一局域网内的流量转发。另外,在手机上配置代理服务器指向运行Fiddler的计算机IP地址,并设定端口号8888(默认),这一步骤至关重要[^2]。 #### 2. 安装根证书 为了能够解密HTTPS加密通信数据,需安装由Fiddler自动生成的信任CA证书至Android/iOS系统的受信任认证机构列表中。未完成此步可能导致无法查看具体内容甚至显示为空白或错误提示。 #### 3. 使用QuickExec命令辅助操作 利用Fiddler中的`QuickExec`对话框可以帮助简化一些常规任务执行过程。例如输入`clear`清除当前所有会话记录;通过`bpu *keep*`设置针对特定域名(如*.keep.com)的断点以便更精确地监控目标应用程序发起的每一个HTTP(S)请求。 #### 4. 排查非浏览器类请求 考虑到某些APP可能会发送特殊的非标准HTTP协议格式的数据流,这些可能不会被正常捕获。此时可尝试启用Fiddler选项里的“Capture Non-browser traffic”,即允许捕捉来自非Web浏览性质的应用程序产生的网络活动[^1]。 #### 5. 调试模式与日志分析 开启Go调试特性有助于逐步跟踪整个流程走向,特别是在设置了断点之后可以让程序暂停等待进一步指令继续往下走。同时注意观察Fiddler界面下方的状态栏以及任何可能出现的日志信息,它们往往能提供关于为什么会出现异常情况的重要线索。 ```python # Python代码示例:模拟简单的HTTP GET请求 import requests url = "https://www.keep.com" response = requests.get(url) print(response.status_code) print(response.text[:100]) # 打印前100字符作为样本展示 ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值