charles为什么能够截取https的报文

最新推荐文章于 2023-01-10 09:13:46 发布
最新推荐文章于 2023-01-10 09:13:46 发布
阅读量309 收藏 2
点赞数
分类专栏: 计算机网络 文章标签: 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/super_cjl/article/details/113407273
版权

上一篇博文我实现了使用charles抓包手机端app,但是并没有解释为什么charles能够抓包手机端app,因为手机端请求的数据都是采用https协议传输的,https协议是安全的传输协议,那么charles为什么能够截获https的报文呢?本篇文章我就来一探究竟。
首先我们先了解一下charles在整个过程中都做了哪些事?其实charles主要做了两件事:1 截获真实客户端的https请求,伪装客户端向真实服务器发送请求。2 接收真实服务器的响应,用charles自己的证书伪装服务端发送的数据内容。
如何让客户端信任charles:还记得之前有一步操作很重要,就是在手机端安装charles proxy ca证书,并且让手机端信任该证书!这一步操作保证了charles可以冒充成代理服务器,顺利截取手机端的https的报文。
从下面这张图我们可以更加清晰的理解整个过程。

在这里插入图片描述
整个过程可以总结如下:
1 客户端向服务器发起HTTPS请求。

2 Charles拦截客户端的请求。

3 服务器向“客户端”(实际上是Charles)返回服务器的CA证书。

4 Charles拦截服务器的响应,获取服务器证书公钥,然后自己制作一张证书,将服务器证书替换后发送给客户端。(这一步,Charles拿到了服务器证书的公钥)。

5 客户端接收到“服务器”(实际上是Charles)的证书后,生成一个对称密钥,用Charles的公钥加密,发送给“服务器”(Charles)。

6 Charles拦截客户端的响应,用自己的私钥解密对称密钥,然后用服务器证书公钥加密,发送给服务器。(这一步,Charles拿到了对称密钥)。

7 服务器用自己的私钥解密对称密钥,向“客户端”(Charles)发送响应。

8 Charles拦截服务器的响应,替换成自己的证书后发送给客户端。

至此,连接建立,Charles拿到了 服务器证书的公钥 和 客户端与服务器协商的对称密钥,之后就可以解密或者修改加密的报文了。

从整个过程来看,我们不难发现,正是由于手机客户端安装并信任了charles proxy ca证书,才使得charles能够顺利截获报文。

HTTPS抓包的原理还是挺简单的,简单来说,就是Charles作为“中间人代理”,拿到了 服务器证书公钥 和 HTTPS连接的对称密钥,前提是客户端选择信任并安装Charles的CA证书,否则客户端就会“报警”并中止连接。这样看来,HTTPS还是很安全的。

CJL爱吃鱼
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
https原理以及fiddler截获https报文原理
baidu_30374343的博客
12-13 3143
https原理 简要理解: 1、客户端请求服务器 2、服务器返回一个ca证书,证书里面有服务器的非对称加密的公钥 3、ca证书也是非对称加密的,是ca机构用其私钥加密过的 4、客户端从受信任的ca证书列表中取出该机构证书的公钥,并对证书进行解密 5、客户端解密后就得到服务器的公钥 6、客户端随机生成一堆对称加密密钥,并用服务器的公钥进行加密,发给服务器,以后服务器和客户端双方就用这个对称密钥来...
charles工具使用-抓取https请求
jiadoudoudou的专栏
08-23 7949
Charles是目前最强大的http调试工具之一,在界面和功能上远强于Fiddler,同时是全平台支持,堪称神器,唯一的缺陷是这软件是收费的。可以在网上搜下Charles的破解版安装教程。 Charles可用于截取http和https请求,但是如果不经过一些设置,Charles截取到的https的request和response都是乱码,设置完成后https就可以抓包了。 以某app举例:
Charles抓取https数据的原理
D0126_的博客
01-10 114
爬虫
charles 为什么能抓https的包?原理是什么?
塑料机霸
10-18 7771
众所周知,http明文传输,https加密就是为了在传输层禁止暴露明文,但是为什么抓包工具又能抓到? 岂不是和https的设计矛盾了?? 简单的说就是中间人攻击,也就是“man-in-the-middle attack” 先来看一下charles的document: “Charles can be used as a man-in-the-middle HTTPS pro
https协议 和 Charles 进行https抓包原理
易水寒
05-21 1万+
1.对称加密其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。 对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。 不足之处是,交易双方都使用同样钥匙,安全性得不到保证。此...
使用Charles抓取 Https 数据及原理分析
sanmianti
07-13 5646
环境 PC :Windows 10 Mobile:华为荣耀V8 Android7.0 CharlesCharles 4.2.5 第一步 手机连接Charles代理 第二步 Charles客户端安装Charles根证书 第三步 移动端安装Charles根证书 第四步 Charles客户端配置过滤条件 原理分析 参考文献...
解决Charles抓包https时,无法查看CONNECT请求的问题
08-28
下面小编就为大家分享一篇解决Charles抓包https时,无法查看CONNECT请求的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
抓包APP的https协议报文视频教程
最新发布
06-10
0. Charless 介绍 1.雷电模拟器安装设置 1.1 安装模拟器 ...3.安装抓包工具 Charles 并安装根证书 4.Charles代理设置 5.设置模拟器WIFI代理并下载安装证书 6.RootExplorer安装及使用 7.测试抓包APP网络请求数据
配置Charles抓取https请(web+app)
11-30
基于windows平台配置Charles抓取https请求,包含web+app,因为配置过程较为复杂,所以以文档方式分享,有需要的童鞋自取
Charles抓包Https请求显示Unknown解决方案.pdf
06-18
Charles抓包Https请求显示Unknown解决方案
android TV端Charles抓包及https证书配置
03-27
android TV端Charles抓包及https证书配置
如何使用Charles抓包并分析Http报文
weixin_34306446的博客
08-08 1451
从Web安全的攻击防御方面来说,最多接触的应该就是Http协议了,当我们作为中间人(man-in-the-middle)查看到所有浏览器到web服务器的http报文的时候,一切就都有意思起来。 比如,分析某电商在交易支付的时候请求了哪些东西,分析某网站的登录流程都请求了哪些数据,分析某社交软件有没有偷偷的上传隐私数据等等,甚至可以拿到H...
使用Charleshttps请求包
专栏
08-01 1万+
由于需要抓https包,看到网上说的挺简单的,然后按照说明配置了一下,结果不行,然后整个人都方了 首先先来看电脑如何配置: 电脑需要先安装证书,而且还需要一直信任才可以 必须为加号,不能为红色的叉,否则是不行的 电脑安装完了,然后需要手机安装,这里需要如此如此。。。。 点击后出来一下弹窗,然后需要在收的浏览器输入相应地址,需要先把代理设置好 然后开始配置
Charles解析https的坑
phxiang的博客
04-28 4986
最近软件碰到一个非常奇葩的bug,就是软件DEBUG的时候没有任何问题,发布以后,一直存在点问题。so,怎么办??想到了使用release版本抓包数据,查找问题。之前一直使用Charles,抓包https的没有问题,enable ssl的时候出现unknown消息,disable ssl的时候出现乱码,这不是要逼死我的节奏吗?直接google,弄了半天也没找到靠谱的消息。后来在一篇博文中找到了解决方
charles抓包https设置
热门推荐
快乐小编的专栏
03-30 3万+
写在前面https抓包的实现 (一)首先,电脑得装个证书(二)然后,移动设备上安装证书(三)最后,Charles添加SSL Proxying 写在前面 开发时,面对各种接口数据,绝大多数时间都会用Charles抓包进行数据分析,但也总会有那么些情况让人抓狂: Bugfix,线下环境(非https)数据少,满足不了bug出现的情况,无法一边抓包一边改bug线上
Charles篡改https请求及响应
doulihang的博客
04-04 1311
前置条件:Charles可以抓取https请求 1.给需要篡改请求打断点 2.刷新页面,重新发送请求 3.修改响应数据 4.查看修改后的页面
tcpdump源码分析(2)——抓包原理
weixin_34315485的博客
03-28 1486
本篇我们从总体看下tcpdump工具的抓包原理,通过学习了解并掌握其实现的机制,为后续进一步底层操作做准备。 1.1.1.1 如何实现 先来看看包传递过来的流程,如下图。包从网卡到内存,到内核态,最后给用户程序使用。我们知道tcpdump程序运行在用户态,那如何实现从内核态的抓包呢?   这个就是通过libpcap库来实现的,tcpdump调...
HTTPS数据包抓取的可行性分析
taylor的专栏
11-17 1万+
相信只要是从事软件开发, 多多少少都会涉及到数据包的抓取。常见的有网页数据抓取(即网页爬虫),应用程序数据包抓取等。网页数据抓取比较简单, 在chrome下可以非常方便的分析网页结构和数据请求;而应用程序数据包的抓取则相对复杂些, 通常需要配置代理软件。常用的代理软件有paros, mitmproxy, honeyproxy等。若是你的路由器支持, 你甚至可以直接在电脑上使用wireshark
charles怎莫抓取https报文
08-26
要抓取HTTPS报文,可以通过以下步骤在Charles中设置: 1. 首先,需要将电脑的DNS设置为114.114.114.114。这样可以解决Charles无法抓取HTTPS请求的问题。 2. 打开Charles软件,在菜单栏中选择“Proxy” -> “SSL ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值