【转】Android 7.0 https 抓包实现

最新推荐文章于 2024-06-23 03:07:44 发布
最新推荐文章于 2024-06-23 03:07:44 发布
阅读量354 收藏
点赞数
分类专栏: Android android 网络 文章标签: Android 抓包 https Android7.0抓包
原文链接:https://blog.csdn.net/a646796992/article/details/82901104
版权
android 同时被 3 个专栏收录
69 篇文章 0 订阅
订阅专栏
Android
7 篇文章 0 订阅
订阅专栏
网络
5 篇文章 0 订阅
订阅专栏

说到抓包,这就是涉及到调试和安全问题,对于 Android 7.0 (API 24 )以下,你可以直接使用 Charles 安装相关证书配置好代理后直接实现。但是在 Android 7.0 之后,Google 推出更加严格的安全机制。

至于具体怎么配置,Google 官方给出超级全面解释,官方连接。

1. 在你自己的app下,xml目录下新建一个文件:res/xml/network_security_config_debug.xml ,配置在debug模式下信任用户证书,内容如下:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates
                overridePins="true"
                src="system" />
            <certificates
                overridePins="true"
                src="user" />
        </trust-anchors>
    </base-config>
</network-security-config>


2. 在AndroidManifest中使用它:

<?xml version="1.0" encoding="utf-8"?>
<manifest ... >
    <application  android:networkSecurityConfig="@xml/network_security_config_debug" ... >
        ...
    </application>
</manifest>
这样debug模式下就可以抓包了。release的话改为以下配置

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <debug-overrides>
        <trust-anchors>
            <!-- Trust user added CAs while debuggable only -->
            <certificates src="user" />
        </trust-anchors>
    </debug-overrides>
</network-security-config>


简单分析下,为什么在 7.0 之后,在手机内直接安装证书没效果呢?这是 6.0 默认配置:

<base-config cleartextTrafficPermitted="true">
    <trust-anchors>
        <certificates src="system" />
        <certificates src="user" />
    </trust-anchors>
</base-config>

然后这是 7.0 默认配置:

<base-config cleartextTrafficPermitted="true">
    <trust-anchors>
        <certificates src="system" />
    </trust-anchors>
</base-config>

区别显而易见,我们在手机里自己安装证书,就是对应在 user 域,对于 7.0 来说,默认是直接不信任。所以,你装代理证书失去意义。

那要解决 7.0 不能抓包调试这个问题,你可以直接配置出这文件,选择上面 6.0 默认配置方式,信任来自 user 域证书。这样,你就又可以抓包调试。

上面方式最为简单,但是也有一些安全问题。比如说,你这么一配置,其实相当于否定 Google 为 7.0 https 增强的安全策略。而且这么一来,你的 https 请求任何人都可以抓包,这有什么意义呢?

接着介绍 Google 针对这一问题,给出建议:

<debug-overrides>
    <trust-anchors>
        <certificates src="@raw/user"/>
    </trust-anchors>
</debug-overrides>


这个就是我们在调试时可以信任的证书。

 ———————————————— 
版权声明:本文为CSDN博主「思钱想厚_hy」的原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/a646796992/article/details/82901104

独领风骚的猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安卓7.0以上版本https抓包处理
Sabrina_FN的博客
05-13 405
一、背景:fiddler不支持配置host的同时抓包https,此处工具用的whistle,然而安卓7.0以上版本无法安装证书,下面为具体使用功能方法; 二、安装whistle 安装Node,下载地址:https://nodejs.org/,默认安装即可: Node安装成功后,执行如下npm命令,配合taobao镜像安装whistle:安装完验证是否安装成功:...
Android 7.0以上 无法抓取Https包解决办法
paihuai_00的博客
02-19 1199
Android 官网:网络安全配置 近期升级了targetSdkVersion到28,发现无法抓取到https请求包,查看了一下,Google修改安全策略了 #####默认配置 Android6.0 (API 级别 23)及更低版本应用的默认配置如下所示: <base-config cleartextTrafficPermitted="true"> <...
Android7以上抓取https数据包-无需root
qq_45764684的博客
04-26 631
手机内装一个虚拟机,然后在虚拟机内运行我需要抓包的应用,该虚拟机内是不需要证书验证的。完美解决android7.0以上https无法抓包的问题。
No Network Security Config specified, using platform default
chuyouyinghe的专栏
05-17 1457
参考地址 参考地址:学徒浅析Android——Android7.0(N)对于自定义证书和非CA机构证书的适配校验 异常 遇见的第一个异常是: No Network Security Config specified, using platform default 解决办法: 创建一个网络安全性配置 network_security_config.xml,用来声明证书校验方式 <application android:allowBackup="true" ...
Android平台HTTPS抓包解决方案及问题分析
最新发布
2401_85730312的博客
06-23 1371
HTTP协议发展至今已经有二十多年的历史,整个发展的趋势主要是两个方向:效率和安全。效率方面,从HTTP1.0的一次请求一个连接,到HTTP1.1的连接复用,到SPDY/HTTP2的多路复用,到QUIC/HTTP3的基于UDP传输,在效率方面越来越高效。安全方面,从HTTP的明文,到HTTP2强制使用TLSv1.2,到QUIC/HTTP3强制使用TLSv1.3,越来越注重数据传输的安全性。总而言之,HTTP协议的发展对用户是友好的,但是对开发者而言却不那么友善。
Android Https的详解
ruanyandong的博客
09-20 4118
Https的通信过程 两种加密 加密方式分两种,对称加密和非对称加密。这两种方式都有自己的优劣势, https中这两种方式都采用了。 我们约定S是服务端,C是客户端,客户端需要从服务端获取信息; 对称加密 这种加密方式比较简单,就是双方都持有密匙。S和C都持有密匙, S通过密匙加密明文传递给C,C获取加密后的信息,用密匙解密信息。 优势: 加密速度快 劣势: 密匙的传递是个问题,容易被截取,密匙一旦被截取后, 就能轻易破解信息。 常见的对称加密算法有DES、3DES、TDEA、Blowfish、RC5
Android 7.0+抓包https突破ssl-pinning方案抓包插件.zip
03-17
Android 7.0+ 抓包https方案,突破ssl-pinning 使用方法:https://blog.csdn.net/u014644574/article/details/104930877
Android高版本HTTPS抓包解决方案及问题分析.docx
10-26
这意味着即使安装了用户CA证书,在Android 7.0及以上版本的设备上,对于targetSdkVersion大于等于24的应用的HTTPS抓包将无法实现。 为了绕过这一限制,可以尝试以下几种方法: 1. **降级targetSdkVersion**:将...
安卓手机抓包工具.rar
07-31
但这款“安卓手机抓包工具”宣称无需root权限就能实现HTTPS抓包,这对于开发者、测试人员和网络安全专家来说是个好消息,因为它降低了使用门槛,同时避免了root可能带来的系统不稳定性和安全风险。 该工具可能采用...
雷电9+ 安卓7+LSPosed APP抓包
09-15
【标题】:“雷电9+ 安卓7+LSPosed APP抓包”是指使用雷电模拟器的9.0版本,在搭载Android 7.0系统环境中,通过LSPosed框架进行应用程序的数据抓包操作。这是一项针对Android应用开发者或者测试人员的技术实践,旨在...
微信小程序抓包
01-03
我们知道,微信小程序的请求接口都是HTTPS,因此...夜神模拟器 (安卓版本为Android 5.1.1) Xposed JustTrustMe weixin_v6.6.5.apk (7.0以下都可以) HttpCanary 以上安装包,不认识的自行百度了解,这里不做讲述 安装 1
Android Https解析!
walk的博客
09-05 1645
一、Https基础 1、Http的缺点 1)、通信报文是明文,内容容易被窃听 2)、没有通信方的身份,通信方容易被伪装 3)、无法验证报文的完整性,因此内容可能已经被更改 2、Https可以解决上面缺点。Https就是Http+ssl。Http直接和tcp通信,Https是和ssl通信,ssl和tcp通信。ssl是独立于ht...
HTTPS 原理浅析及其在 Android 中的使用
2301_78145669的博客
06-12 1301
在App中,把服务端证书放到资源文件下(通常是asset目录下,因为证书对于每一个用户来说都是相同的,并且也不会经常发生改变),但是也可以放在设备的外部存储上。// 在这里进行服务器正式的名称的配置@Overridei++) {try {try {复制@Overridetry {try {复制。
android Https的使用及双向验证证书
jiushi1995的博客
02-24 4099
一、 Https 简介 1、 什么是Https? 简单来说, HTTPS = HTTP + SSL/TLS协议。 HTTP是应用层协议,TCP是传输层协议,在应用层和传输层之间,增加了一个安全套接层SSL/TLS 2. HTTPS加密方式(SSL/TLS 加密方式) SSL加密使用了对称加密及非对称加密的方式。在数据传输过程中,使用对称加密方式加密数据。使用非对称加密方式加密对称加密算法的密钥。 使用两种加密方式的原因:非对称加密拥有公,私两种密钥,加密及解密的算法不同,更安全,但在加密解密的
如何在 Android 上优雅的进行 HTTPS 明文抓包
easylife206的专栏
09-15 3125
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩 Linux !前言Android系统上抓包HTTPS是不是越来越难了?高版本无法添加CA证书,抓包软件依赖太多,VPN模式、或HOOK程序时,会被APP检测到。对抗成本愈加增高。有什么万能的工具吗?是的,eCapture for Android[1]来了。以后在Android上抓HTTPS通讯包,再也不用安装CA证书了,再也不用下...
Android HTTPS 抓包
fabbychips的专栏
07-20 3808
网络请求抓包是研发过程中常见问题,无论是开发时的接口调试,还是测试时的数据检验,都有网络抓包的需求。随着HTTPS协议的推广以及手机系统安全性的升级,抓包的门槛可能会逐渐变高;在这篇文章里,我将带你从原理到实战全面认识HTTPS抓包,既理解HTTPS抓包背后的实现原理,又掌握市面上已有的抓包方案。对于一些方案中存在的坑点我也一一列举并给出解决方法。Fiddler目前主要是用在Window系统上的网络调试工具这里总结一下使用Charles进行抓包的主要步骤,其实就是按照第2节。...
android采用Https的解决方案,Android使用https
weixin_42538470的博客
05-25 3159
前言HI,欢迎来到裴智飞的《每周一博》。今天是九月第三周,我给大家介绍一下安卓如何使用https。HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。为了解决HTTP协议的这一缺陷...
安卓7.0以上抓包https
03-25
A:在安卓7.0及以上版本中,由于Google升级了网络安全标准,https的请求无法直接抓包,需要使用ssl pinning技术来验证证书。 一种比较简单的方法是使用Charles代理工具,通过在手机上安装Charles根证书并进行SSL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值